Примечание: возможно, «Фон» и «План» на самом деле не нужны; не стесняйтесь сразу переходить к "Проблеме" ...
Недавно мы переместили несколько серверов из одной подсети в другую. Раньше у них были IP-адреса 192.168.0.0/24; теперь у них 10.1.2.0/24.
Чтобы избежать фактического изменения адресов на серверах и сделать переключение как можно более простым, мы ничего не меняли на них; они по-прежнему настроены на использование 192.168.0.x и ничего не знают о 10.1.2.x.
Вместо этого маршрутизатор (pfSense 2.3.2) перед ними выполняет NAT 1: 1, отображая между двумя подсетями.
Здесь нет VLAN или другой специальной сети; просто два обычных физических порта Ethernet на какой-то машине, один для LAN, один для WAN (сторона WAN - это простой исходящий канал Ethernet, без коммутируемого доступа / DSL или чего-то в этом роде).
Все отлично работает, и все хорошо. Я могу связаться с серверами извне, используя их адреса 10.1.2.x (преобразованные маршрутизатором через NAT); и я могу связаться с внешним миром с серверов - и они появляются со своими адресами 10.1.2.x, как и следовало ожидать.
Прямо сейчас маршрутизатор имеет IP-адрес 192.168.0.1 на интерфейсе LAN, и этот IP-адрес настроен как шлюз по умолчанию для серверов (обычная, тривиальная настройка).
Теперь мы хотим избавиться от старых адресов 192.168.0.x и преобразования NAT. Чтобы избежать единственного экземпляра во времени, когда мы должны выполнить переключение, я хотел бы сделать так, чтобы я мог перемещать один сервер за другим.
Насколько я понимаю, это можно сделать, предоставив физическому интерфейсу маршрутизатора дополнительный IP-адрес 10.1.2.1 (на машине Linux я бы просто добавил IP-псевдоним), добавив новые IP-адреса на серверах как IP-псевдонимы ( не имеет значения, все ли одновременно или по отдельности), переключите серверы на использование 10.1.2.1 в качестве шлюза по умолчанию вместо 192.168.0.1, отключите NAT 1: 1 для этого IP-адреса сервера и покончите с этим. Затем сервер будет использовать свой IP-адрес 10.1.2.x в качестве «основного» IP-адреса и по-прежнему будет прослушивать старый IP-адрес на случай, если кто-то еще в локальной сети будет его использовать. Затем мы можем постепенно отказаться от старых IP-адресов.
Как настроить pfSense на наличие псевдонима IP на интерфейсе LAN? Это вообще возможно? Я вообще не могу найти упоминания о псевдонимах IP (вторичных IP на физических интерфейсах).
Есть ли другой способ достичь желаемого с помощью pfSense?
Да, это возможно, но его конфигурация не является интуитивно понятной. Вот как: