Назад | Перейти на главную страницу

Juniper => D-Link => pfSense - как сделать WAN для pfSense

Извините, может быть, за глупый вопрос (и плохой английский), я новичок в системном администрировании, но задача такая.

У нас есть такая схема сети - простой вид:

ISP Gateway

   ||

Juniper SRX240H(our gateway)

   ||

D-Link DGS1210-48

   ||

pfSense

У нас есть два IP-адреса: 62.213.xxx.86/30 со шлюзом ISP 62.213.xxx.85 217.22.xxx.162/30 со шлюзом ISP 217.22.xxx.161

В интерфейсе Juniper ge0/0/0.0 у нас есть ip 217.22.xxx.162/30. Все шлюзы от провайдера доступны из можжевельника, также все LAN-клиенты могут выходить в интернет через наш шлюз => шлюз ISP.

Но как я могу предоставить второй IP-адрес WAN для pfSense с доступом в Интернет? Если я создам интерфейс WAN с ip 62.213.xxx.86/30 и шлюз по умолчанию 62.213.xxx.85, pfSense дайте мне информацию о том, что "ворота не в сети". LAN работает отлично, но WAN не хочет. Я не могу пинговать ворота 62.213.xxx.85 из pfSense. Я могу пинговать Juniper-gate по LAN, но не могу пинговать Juniper-gate по WAN.

Думаю, мне нужно проложить маршрут, но где и как? На можжевельнике или на pfSense? Или, может быть, мне нужно настроить порт на D-Link?

Я уже запутался в этом, не могли бы вы мне помочь? Или дайте подсказку, где я должен смотреть.

вы должны настроить Назначение NAT

В этом примере есть следующие требования: 1. Трафик к месту назначения 62.213.xxx.86 преобразуется в 192.168.1.100. Реальный IP-адрес и номера портов хостов настроены как пул IP-адресов назначения. Прокси-ARP должен быть настроен, чтобы устройство отвечало на ARP для адресов в пуле IP.

Необходимо создать политики безопасности, разрешающие трафик из зоны недоверия в зону доверия. Поскольку наборы правил NAT назначения оцениваются перед политикой безопасности, адреса, указанные в политике безопасности, должны быть реальным IP-адресом конечного хоста.

[edit security]
set zones security-zone trust address-book address server-1 192.168.1.100/32
[edit security policies from-zone untrust to-zone trust]
set policy server-access match source-address any destination-address [server-1 server-2]
application any
set policy server-access then permit
[edit security nat destination]
set pool dst-nat-pool-pfsense address 192.168.1.100
set rule-set rs1 from zone untrust
set rule-set rs1 rule r1 match destination-address 62.213.xxx.86
set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set rule-set rs1 rule r2 match destination-address 1.1.1.101
set rule-set rs1 rule r2 match destination-port 80
set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 
[edit security nat]
set proxy-arp interface ge-0/0/2.0 address 62.213.xxx.86

также взгляните на это: https://kb.juniper.net/library/CUSTOMERSERVICE/technotes/Junos_NAT_Examples.pdf