У меня есть локальная сеть с модемом / маршрутизатором ADSL. Мы только что получили альтернативное высокоскоростное интернет-соединение в нашем месте, и я хочу подключить к нему локальную сеть, в конечном итоге отключив ADSL.
Я решил использовать небольшую коробку PFSense для подключения LAN к новому WAN-соединению.
Два сервера в локальной сети запускают службы, доступные извне через NAT с использованием одного ADSL WAN IP. У нас есть записи DNS, указывающие на этот IP-адрес. Я хочу сделать то же самое через новое соединение, используя там IP-адрес WAN. Это соединение разрешает несколько IP-адресов, поэтому я настроил pfSense с использованием виртуальных IP-адресов, NAT 1: 1 и соответствующих правил брандмауэра.
Когда я изменяю настройки шлюза серверов по умолчанию на поле pfSense, я могу без проблем получать доступ к службам через новые IP-адреса WAN. Однако я больше не могу получить к ним доступ через старый IP-адрес WAN. Если я верну в качестве шлюза по умолчанию для серверов ADSL-маршрутизатор, то все будет наоборот - я могу получить доступ к службам через IP-адрес ADSL, но не через новый.
В первом случае я считаю, что это связано с тем, что входящий пакет SYN поступает на IP-адрес ADSL WAN, проходит через NAT и отправляется на внутренний IP-адрес сервера. Сервер отвечает SYN / ACK, который он отправляет через свой шлюз по умолчанию, ящик pfSense. Блок pfSense видит SYN / ACK, для которого он не видел SYN, и отбрасывает пакет.
Есть ли какой-нибудь разумный способ обойти это? Я хотел бы, чтобы сервисы были доступны через оба IP-адреса хотя бы на короткий период, поскольку после того, как я изменю DNS, пройдет некоторое время, прежде чем все получат новый адрес.
Если вы настроите всю настройку примерно так:
New WAN |
--> pfSense --> LAN
ADSL |
поэтому pfSense получает 2 подключения к Интернету.
Приведенная выше настройка должна работать без особых проблем, поскольку теперь у серверов будет только один шлюз.