抱歉,也许这是一个愚蠢的问题(而且英语不好),我是系统管理的新手,但这就是任务。
我们有这个网络方案-简单视图:
ISP Gateway
||
Juniper SRX240H(our gateway)
||
D-Link DGS1210-48
||
pfSense
我们有两个 IP 地址:
62.213.xxx.86/30带有 ISP 网关62.213.xxx.85
217.22.xxx.162/30带有 ISP 网关217.22.xxx.161
在 Juniper 接口上ge0/0/0.0我们有 ip 217.22.xxx.162/30。所有来自提供商的网关都可从 Juniper 获取,而且所有 LAN 客户端都可以通过我们的网关 => ISP 网关访问互联网。
但是我如何才能为 pfSense 提供第二个 WAN ip 地址,以便 pfSense 能够访问互联网?如果我使用 ip62.213.xxx.86/30和默认网关创建 WAN 接口62.213.xxx.85,pfSense 会给我有关“gate 处于离线状态”的信息。LAN 工作正常,但 WAN 不行。我无法62.213.xxx.85从 pfSense ping 通 gate。我可以通过 LAN ping 通 Juniper-gate,但无法通过 WAN ping 通 Juniper-gate。
我认为我需要设置路由,但在哪里设置、怎么设置呢?在 Juniper 上,还是在 pfSense 上?或者,也许我需要在 D-Link 上的端口上设置?
我已经对此感到困惑了,你能帮助我吗?或者给我一些提示,告诉我应该去哪里找。
答案1
你应该配置目标 NAT
本示例有以下要求: 1. 到目标 62.213.xxx.86 的流量被转换为 192.168.1.100 主机的真实 IP 地址和端口号配置为目标 IP 池。必须配置代理 ARP,以便设备响应 IP 池中地址的 ARP。
必须创建允许从不信任区域到信任区域的流量的安全策略。由于目标 NAT 规则集在安全策略之前进行评估,因此安全策略中引用的地址必须是终端主机的真实 IP 地址。
[edit security]
set zones security-zone trust address-book address server-1 192.168.1.100/32
[edit security policies from-zone untrust to-zone trust]
set policy server-access match source-address any destination-address [server-1 server-2]
application any
set policy server-access then permit
[edit security nat destination]
set pool dst-nat-pool-pfsense address 192.168.1.100
set rule-set rs1 from zone untrust
set rule-set rs1 rule r1 match destination-address 62.213.xxx.86
set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set rule-set rs1 rule r2 match destination-address 1.1.1.101
set rule-set rs1 rule r2 match destination-port 80
set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
[edit security nat]
set proxy-arp interface ge-0/0/2.0 address 62.213.xxx.86
另请查看这个: https://kb.juniper.net/library/CUSTOMERSERVICE/technotes/Junos_NAT_Examples.pdf