My boring Blog

Home page di Mauro Frigerio
it en

Redirect del traffico per un IP pubblico verso uno locale

01-07-2021 Tempo di lettura 2 minuti article

Ho alcuni servizi all’interno della mia rete che sono ospitati su un server locale. Alcuni di questi sono disponibili esternamente, mentre altri solo internamente. Sul DNS del pfSense ho configurato l’indirizzo locale per tutti i servizi, mentre sul DNS pubblico sono configurati solo i servizi accessibili da internet.

In questo periodo di home working sono sempre collegato alla rete di casa con il portatile del lavoro. Quando lavoro il laptop si collega al VPN dell’ufficio e viene modificato il DNS (quello locale non è più disponibile). Così ogni volta che voglio accedere ai miei servizi in locale il DNS riporta l’indirizzo IP pubblico.

Normalmente i router fanno un redirect automatico, quello che ho ricevuto non lo fa. Inoltre come buona parte dei router standard degli ISP ci sono poche possibilità di configurazione e il laptop aziendale è completamente bloccato, quindi non mi resta che trvoare una soluzione con pfSense. Ho provato a cercare una soluzione e ho trovato molti suggerimenti su internet. Anche se la configurazione era la stessa a me non funzionava, tutto per colpa di un piccolo dettaglio.

Esempio di rete

Esempio di rete

Configurazione su pfSense e OPNsense

Prima di andare a configurare NAT e Virtual IP (VIP) si devono modificare le impostazioni avanzate dei firewall.

Impostazioni per pfSense

System > Advanced nel tab Firewall & NAT attivare l’opzione Enable automatic outbound NAT for Reflection

Impostazioni per OPNsense

Firewall > Impostazioni > Avanzate attivare l’opzione Automatic outbound NAT for Reflection

Configurazione

Adesso è possibile seguire le molte guide/post presenti su internet ed eseguire la configurazione sul proprio firewall.

  1. Creare un Virtual IP
    • interfaccia: LAN
    • tipo: IP alias
    • indirizzo: indirizzo IP pubblico (esempio 1.2.3.4)
    • subnet: /32
  2. Creare un inoltro porta con NAT
    • interfaccia: LAN
    • destinazione: indirizzo IP pubblico (esempio 1.2.3.4)
    • porte: a seconda del bisogno (esempio 443), oppure tutte le porte
    • inoltra a: indirizzo IP server (esempio 192.168.2.2)
    • reflection: use system default per pfSense o enable per OPNsense

Applicare le configurazioni e testare. Vi consiglio di definire l’indirizzo di destinazione del server come alias (sotto il menu Firewall), così se dovete spostare il server dovete cambiare l’indirizzo in un solo punto e tutte le voste regole del firewall e NAT sono aggiornate.


Crediti Foto copertina di Bruno /Germany da Pixabay