Juniper => D-Link => pfSense -如何为pfSense建立广域网
也许,对于愚蠢的问题(和糟糕的英语),我是系统管理方面的新手,但任务是。
我们有一个网络计划-简单的观点:
ISP Gateway
||
Juniper SRX240H(our gateway)
||
D-Link DGS1210-48
||
pfSense我们有两个IP地址:62.213.xxx.86/30和ISP网关,62.213.xxx.85 217.22.xxx.162/30和ISP网关217.22.xxx.161。
在Juniper接口ge0/0/0.0上,我们有ip 217.22.xxx.162/30。从juniper提供的所有网关,以及所有局域网客户端都可以通过我们的gate=>ISP网关访问互联网。
但是我怎样才能给出pfSense的第二个广域网ip地址?如果我用ip 62.213.xxx.86/30和默认网关62.213.xxx.85创建广域网接口,pfSense会给我有关“关口离线”的信息。伊恩工作得很好,但广域网不想。我不能从62.213.xxx.85开pfSense门。我可以在LAN上打开Juniper门,但是不能在WAN上打开Juniper门.
我想,我需要设置路线,但在哪里和如何?在杜松树上,还是在pfSense上?或者,也许,我需要在D-Link的一个港口上设置?
我已经和这件事搞混了,你能帮帮我吗?或者给点小费,我必须去找的地方。
回答 1
Server Fault用户
发布于 2018-06-13 20:00:58
您应该配置目标NAT。
此示例具有以下要求: 1.将到目的地62.213.xx.86的通信量转换为192.168.1.100,主机的实际IP地址和端口号被配置为目标IP池。必须为设备配置代理ARP以响应IP池中地址的ARP。
必须创建允许从不信任区域到信任区域的通信的安全策略。由于目标NAT规则集是在安全策略之前评估的,因此安全策略中引用的地址必须是终端主机的实际IP地址。
[edit security]
set zones security-zone trust address-book address server-1 192.168.1.100/32
[edit security policies from-zone untrust to-zone trust]
set policy server-access match source-address any destination-address [server-1 server-2]
application any
set policy server-access then permit
[edit security nat destination]
set pool dst-nat-pool-pfsense address 192.168.1.100
set rule-set rs1 from zone untrust
set rule-set rs1 rule r1 match destination-address 62.213.xxx.86
set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set rule-set rs1 rule r2 match destination-address 1.1.1.101
set rule-set rs1 rule r2 match destination-port 80
set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
[edit security nat]
set proxy-arp interface ge-0/0/2.0 address 62.213.xxx.86还请看一看这个:https://kb.juniper.net/library/CUSTOMERSERVICE/technotes/Junos_NAT_Examples.pdf
https://serverfault.com/questions/915436
复制相似问题
腾讯云开发者
