Назад | Перейти на главную страницу

Как настроить исходный NAT (частный IP => исходящий общедоступный IP)

Я использую VMWare ESXi Free и использую Zentyal SBS 3.2 в качестве шлюза.

У меня 5 публичных IPS (CIDR/29, назовем их 69.1.1.1 - 69.1.1.5), и в настоящее время Zentyal привязан к 69.1.1.1 в качестве шлюза, а остальные 4 общедоступных IP-адреса установлены как виртуальные интерфейсы в Zentyal (wan2-wan5)

У меня есть машины, находящиеся в частной сети (10.34.251.x), которые при исходящем подключении (например, в Google) должны восприниматься Интернетом как IP-адрес, отличный от шлюза (69.1.1.1), это потому, что наши машины должны иметь возможность взаимодействовать со сторонними API, которые ожидают, что эти запросы будут поступать с определенного IP-адреса.

Из того, что я смог найти, для этого используется SNAT (Source NAT) в Zentyal, но я не знаю, как его настроить, и не могу найти конкретную часть документации для него в Zentyal.

Я пробовал настроить это несколькими разными способами, но безрезультатно, и на данный момент я понятия не имею, поступаю ли я совершенно неправильно, или отсутствие опыта работы с сетью и связанной с ней терминологии не позволяет мне разместить правильные значения в правильных полях.

Я получаю следующую форму для настройки правил "SNAT" в Zentyal:

Возможно, кто-нибудь может предложить некоторые рекомендации и определения для полей выше?

Адрес SNAT Это публичный IP-адрес, который я хочу замаскировать?
Исходящий интерфейс Должен ли это мой внешний сетевой адаптер (подключенный к общедоступной сети) или это «частный» интерфейс? Похоже, это должен быть внешний интерфейс, поскольку я хочу, чтобы трафик из внутренней сети отправлялся через этот интерфейс (в любом случае с использованием другого IP-адреса, чем обычно)
Источник Является ли Источник во внутренней сети (один из частных IP-адресов?) Общедоступным IP-адресом, под которым я хочу маскироваться, или чем-то еще?
Место назначения Это место в Интернете (например, «Сделайте это только для сайта Google.com» / IP) или я снова позволяю себе запутаться?
обслуживание Я предполагаю, что это позволяет мне ограничить, к каким службам будет применяться это правило, но это для службы на внутренняя сеть или услуга, доступная на внешняя сеть?

Если я могу предложить какие-либо дополнительные подробности или информацию, чтобы прояснить то, что я пытаюсь сделать, я с радостью это сделаю.

Честно говоря, мы будем очень благодарны за любую помощь. Я не NetOps или что-то в этом роде, я трачу большую часть своего дня на написание кода, и вся моя «команда» в этой компании состоит из «меня, меня и меня», поэтому, пока я пытаюсь расширять свой KB при каждой возможности , Я могу научиться так много, так быстро, и мне кажется, что с сетями особенно много, в сочетании с кривой обучения для каждого решения, которое любит (с моей ограниченной точки зрения) использовать немного другую терминологию, чем то, к чему я привык (и у меня точно нет необходимого опыта, чтобы ссылаться на этот материал с тем, что я уже знаю в контексте).

После "грубой силы" конфигурации (второй раз) мне удалось заставить это работать.

В первый раз, когда я попытался настроить это всевозможными способами, которые я мог придумать, у меня не было виртуальных интерфейсов, назначенных для интерфейса WAN. По-видимому, в Zentyal (возможно, полностью сетевом мире) маршрутизатор / шлюз / что бы он ни называл технически, не полностью «осведомлен» о других IP-адресах в вашем CIDR (при условии, что у вас есть что-то другое, кроме / 32 с более чем 1 IP)

После того, как я назначил виртуальные интерфейсы (называемые wan2 -> wan4, на самом деле неважно), я даже не подумал сразу же попытаться настроить это снова, так как из-за отсутствия у меня опыта работы в сети я не подумал они были важны, и я даже не знал, чем они были (все еще не знаю, и я не понимаю, почему это важно).

Со всеми дополнительными IP-адресами в CIDR, назначенными вам вашим ISP / DC / ARIN, назначенными виртуальным интерфейсам (я думаю, что другие решения, такие как PFSense, называют их виртуальными сетевыми адаптерами или vNIC, для справки), вы можете следовать руководству по настройке ниже. Имейте в виду, что я совершенно бесполезен, когда дело касается сетей, и я сделал "грубой силой" этот конфиг, пока он не заработал (я все перепробовал), поэтому ваш пробег может варьироваться (значительно). Я мог совершенно ошибаться и мне просто повезло.

Тем не менее, определения !:

Адрес SNAT Это IP-адрес, который вы пытаетесь «замаскировать», когда вы подключаетесь к такому сайту, как Google.
Исходящий интерфейс Я хотел отправить трафик через общедоступную сеть, поэтому я оставил этот набор в качестве своего «внешнего» интерфейса. Это сработало для моей цели.
Источник Это IP-адрес машины / виртуальной машины, которая находится за вашим Частный сеть, которую вы хотите видеть в Интернете как имеющую адрес, указанный выше в Адрес SNAT поле.
Место назначения Я полагаю, вы могли бы использовать это, чтобы изменить, какой сайт видит какой IP. Так что, если бы я только хотел показать 69.1.1.2 Google и хотел, чтобы Facebook видел IP-адрес маршрутизатора / Zentyal, я мог бы установить это здесь (Google использует Round Robin DNS, поэтому, вероятно, плохой пример, поскольку вы не всегда подключаетесь к одному и тому же IP, когда вы заходите в Google, не знаю, как вы с этим справитесь!)
обслуживание Предположительно это работает аналогично Место назначения, за исключением того, что я понятия не имею, влияет ли это на локальную службу или удаленную службу. Поскольку это сразу после Денстинация можно с уверенностью предположить, что это влияет на адрес назначения.

Выше вы можете увидеть мою конфигурацию с использованием заполнителей, она работает и протестирована с помощью клиента Windows 7 Enterprise, тестирование путем ввода «Мой IP» в Google (который любезно показывает, какой IP-адрес они видят).

Кроме того, во время поиска в Google я заметил, что для использования правил «SNAT» (Source NAT) вам необходимо соответствующее правило «DNAT» (Destination NAT), чтобы трафик мог возвращаться. Если есть что-то еще, что должно произойти для возврата трафика на правильную виртуальную машину / машину, Zentyal сделает это за вас (я думаю, поскольку он работает прямо сейчас, как и следовало ожидать, без какой-либо дополнительной настройки).

Если я могу быть более конкретным, или если что-то здесь не так, пожалуйста, дайте мне знать.

ОБНОВИТЬ: Если у вас все еще возникают проблемы с этим, не забудьте нажать кнопку «Сохранить» в правом верхнем углу портала администратора Zentyal после того, как вы сделаете примерно любой изменение в Zentyal, поскольку Zentyal не записывает файлы конфигурации (и не перезапускает службу, чтобы использовать новую конфигурацию), когда вы "сохраняете" настройку на текущей странице. По-видимому, это позволяет вам внести сразу несколько изменений, которые могут конфликтовать, а затем «зафиксировать» их все сразу. Честно говоря, это может расстраивать при отладке, так как об этом легко забыть, и вам остается разбить лицо о клавиатуру, недоумевая, почему это «не сработает».