PFSense en ExtraIP.com dNAT /sNAT

Na het instellen van de GRE tunnel van ExtraIP wil je natuurlijk gebruik maken van je extraIP adressen en zelfs netwerken via een ander IP adres naar buiten laten gaan.

Hieronder een beknopte handleiding op basis van een gevirtualisuerde PFSense installatie ;  ik heb op dit moment het nog niet anders voor elkaar gekregen;

Als je de servers direct het IP adres van ExtraIP wilt geven dien je gebruik te maken van 1-op-1 NAT, dit houdt in dat je servers een intern adres hebben, maar PFSense 1 op 1 het externe IP toewijst. Met firewall regels laat je dan verkeer toe (of elk verkeer). Dit is handig met bijvoorbeeld een router achter PFsense.

Voeg eerst een NIC toe op de VM, deze wijs je toe aan een niet bestaand VLAN / disconnect de NIC, zodat deze wel in PFSense zichtbaar wordt, maar er verder geen verkeer over mogelijk is.

Voeg deze NIC toe via:

Ik heb deze ExtraIPVLAN genoemd binnen PFSense:

Klik op ExtraIPVLAN en neem onderstaande gegevens over (let op dat het IP adres niet je eigen netwerk overlapt, gebruik wel een intern IP adres)

Ga nu naar Firewall > Virtual IP’s

Vul hier nu op onderstaande manier je extraIP adressen in:

Ga nu naar Firewall > NAT >

Klik op Outbound:

Zet deze op Hybrid Outbound NAT:

Als voorbeeld een aantal zelf aangemaakte Mappings:

In dit voorbeeld zijn 2 DNS servers middels sNAT vertaald naar 1 ExtraIP alias en mijn originele WAN ip adres, maar alleen voor DNS verkeer.

Verder worden er 3 IP subnets elk naar een eigen IP adres gestuurd, waaronder 1 naar het WAN adres (ISP adres) en de overige 2 naar een extra adres van ExtraIP.

Je gebruikt verder de ExtraIPVLAN interface niet, deze zorgt er alleen voor dat PFSense de sNAT kan uitvoeren, zonder deze interface kreeg ik het niet werkend.

Verder gebruik je voor dNAT (Port-Forward) de ExtraIP en WAN interface, zie voorbeeld.