Author Topic: Snat y Re dirección de puertos  (Read 1440 times)

luis.apodaca

  • Zen Apprentice
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Snat y Re dirección de puertos
« on: November 01, 2019, 08:09:32 pm »
Hola a todos es mi primer post en este foro, espero puedan ayudarme

   Recientemente comencé a migrar mi estructura de red de Sophos UTM 9.6 hacia Zentyal 6.0, por cuestiones económicas no podemos seguir con Sophos así que estoy tratando de probar si Zentyal puede sustituirlo antes de que se pierda el licenciamiento y quedarme sin nada, y como estoy teniendo problemas al pasar las configuraciones acudo a ustedes por ayuda, que de antemano agradezco

   El servidor Zentyal esta sobre un servidor Físico que esta para virtualizar equipos, este tiene sistema operativo Proxmox, hasta allí no tengo problemas, todo bien

   El Hardware virtual de Zentyal consiste en 3 Tarjetas (solo especifico lo concerniente a la red, lo demás no tiene ningún problema)
            A) Interna para la administración de Zentyal
            B) Externa con 1 IP publica para la salida a Internet de toda mi red mas 1 virtual sobre esta que también es tipo publica
               sobre la virtual es que estoy configurando la salida a Internet de uno de mis servidores web
            C) interna en Trunk sobre la que estoy generando Vlans

   Hasta este punto, DNS, DHCP, puertas de enlace (1 puerta por cada Vlan) no se tiene ningún problema

   los problemas comienzan por La configuración de Snat y/o re dirección de puertos de mi servidore Web Moodle 3.0, este servidor también esta virtualizado pero este se encuentra en otro server Físico y su ip publica esta en una tarjeta virtual dentro de Sophos (IP que pronto migrare a Zentyal), es por ello que en Zentyal utilizo re-dirección de puertos para que mis redes internas vayan al servidor directamente sin salir a Internet evitando trafico de salida innecesario

   Hasta el momento desde Internet todo funciona pero No así dentro de mi LAN, desde las vlans que todavía controla Sophos No se tiene este detalle, solo en las vlans que tiene Zentyal, aun y cuando trate de manejarlo con Snat desde Zentyal tampoco funciono, estoy un poco confundido por las diferencias con la forma en que se maneja todo en uno y otro servidor

   El segundo problema es prácticamente el mismo con otro servidor, pero en este caso, este servidor si tiene su ip publica gestionada con una IP virtual dentro de Zentyal, en este caso aplique también re-direccionamiento de puertos pero mismo resultado, desde afuera todo bien, desde dentro no tengo acceso ni siquiera capturando la IP en vez del dominio

   intente habilitar servicios y/o filtrado de paquetes pero sigue sin funcionar, alguna ayuda sobre este tema, de antemano gracias. ???
« Last Edit: November 04, 2019, 03:43:39 pm by luis.apodaca »

doncamilo

  • Zen Samurai
  • ****
  • Posts: 478
  • Karma: +165/-1
    • View Profile
Re: Snat y Re dirección de puertos
« Reply #1 on: November 04, 2019, 04:57:11 pm »
 :)

¿Podrías hacernos un pequeño esquema de red? Sobre todo en lo referente a la puerta de enlace predeterminada de tus servidores y la forma en que se conectan éstos, además de sus subredes.

¿Tienes ping desde Zentyal hasta los servidores? ¿Has creado alguna ruta estática para los segmentos de red gestionados por Sophos en Zentyal?

Saludos.
- Do my pigeons bother you passing over your land?
- They block the sun!

G. Guareschi., Don Camillo.,

luis.apodaca

  • Zen Apprentice
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Snat y Re dirección de puertos
« Reply #2 on: November 04, 2019, 05:43:39 pm »
ping desde Zentyal a los servidores, SI, eso si lo tengo, dato importante disculpen por no decirlo al principio

sobre el esquema;

tengo un Switch Catalyst 3750 desde donde hago las Vlans y rutas estáticas (solo eso) hacia Sophos (o Zentyal cuando todo funciones) de manera que todo pase por el Servidor y en este servidor hago DNS, DHCP, Puertas, nateo, etc., es en el Switch que se recibe el acceso a internet desde el Router del ISP, desde este va un cable hacia cada servidor físico o cualquier otros dispositivo


en este momento sophos tiene 2 Ip publicas, una para el accesos a internet de toda la red y otra virtual (declarada sobre la primera) para gestionar el acceso de un servidor web, también esta gestionando 15 Vlan con DHCP y/o estáticas la ip interna de sophos se declaro como DNS en todos los dispositivos y cada vlan tiene su propia puerta de enlace declarada en el switch No en sophos (así es en este servidor), a su vez la ip publica de sophos es el default gateway del servidor y por tanto la salida desde LAN hacia WAN

por su parte Zentyal tiene una IP Publica y otra virtual (quería replicar el esquema de sophos) pero por el momento con solo 2 Vlans y las 2 con dhcp, las 2 son vlan que están declaradas en el switch y se usan también en sophos pero los direccionamiento no se enciman uno sobre otro, los rangos son diferentes, estas Vlans tienen cada una su propia puerta de enlace declarada en Zentyal y diferente de las puertas declaradas en el switch, la Ip Publica de Zentyal (Por supuesto diferente de la de sophos y cualquier otro servidor) es el dafault gateway de el mismo y por tanto mi salida a internet de estas vlans y Si tengo internet en ellas

sobre las rutas estaticas en Zentyal no he declarado ninguna ya que cada vlan tiene su puerta de enlace, tampoco tengo reglas multi puertas ya que desconozco el concepto, seria la primer ocasión que lo utilizo y cuando quise declarar la ruta estática menciona el error de que debería usar estas reglas de multiples puerta de enlace, así que cree una pero no funciono y al ver que no lo hizo la quite para no dejar configuraciones sin funcionar en el server

espero sea suficiente, de antemano gracias.

disculpen que no ponga una imagen del esquema pero el sitio no me deja subir una de 137 Kb
« Last Edit: November 04, 2019, 06:42:26 pm by luis.apodaca »

doncamilo

  • Zen Samurai
  • ****
  • Posts: 478
  • Karma: +165/-1
    • View Profile
Re: Snat y Re dirección de puertos
« Reply #3 on: November 06, 2019, 02:38:36 pm »
 :o

Puedes utilizar cualquier sistema de hosting de imágenes y poner aquí el vínculo. Nos sería de gran ayuda un buen esquema.

De todos modos, si he comprendido bien, puedes acceder correctamente a los servidores desde la Internet y el problema es el acceso desde dentro de la LAN que tienes segmentada mediante VLANS ¿Correcto?

Lo que pasa, seguramente, es que no has provisto ninguna forma de enrutamiento entre las diferentes VLANS. Lee este artículo https://www.practicalnetworking.net/stand-alone/routing-between-vlans/ ,creo que te será de ayuda.

En principio establecemos las vlanes precisamente para separar segmentos de red y que no puedan comunicarse así que, si este es el problema, tendrás que repensar tu diseño de red para montar los servidores en un segmento accesible a las subredes que lo requieran.

¡Salud!
- Do my pigeons bother you passing over your land?
- They block the sun!

G. Guareschi., Don Camillo.,

luis.apodaca

  • Zen Apprentice
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Snat y Re dirección de puertos
« Reply #4 on: November 06, 2019, 08:15:04 pm »
ok gracias por el documento

   Efectivamente entendiste bien mi situación, pero puedo confirmarte que si tengo routeo inter Vlans, tengo Ping y acceso a servidores que no son paginas web y que están en la misma vlan que estos servidores con lo que tengo problema, incluso tengo acceso a otros equipos en otras vlan, desde las vlans y segmentos de Ip que controla Zentyal hacia sophos y viceversa, el problema solo se manifiesta en estos servidores WEB con los que estoy haciendo Nateo

  Les dejo una imagen sencilla del esquema de red, lo único que me falto dibujar serian los servidores pero estos son ip dentro de las Vlan como ya lo había comentado. Alguna sugerencia adicional ??

       https://drive.google.com/file/d/1tWfGX-k9lkUfBhGLjeSGjf_Vj45AJFBc/view?usp=sharing

   De antemano gracias.