Packetfence não faz NAT.

flaviotecnico
(usa Outra)

Enviado em 11/10/2024 - 08:55h

Pessoal, Bom dia.
Estou usando o packetfence no modo inline, coloquei 3 placas de rede no servidor (é uma VM), a primeira placa está na vlan management é a placa default do packetfence, 1 placa numa vlan onde os usuários recebe IP (vlan 2), e 1 terceira placa (ens256) que está numa vlan (vlan 3) que vai colocar os usuários com acesso a Internet. Não percebemos tráfego na vlan da 3ª placa de rede. Com o comando iptables -t nat -L -n -v | grep SNAT percebo que ocorre NAT da vlan que distribui IPs (vlan 2) para a vlan mangement, mas não tem NAT entre a vlan 2 e a vlan 3. E deveria existir o NAT da vlan 2 para a vlan 3, na aba Inline na GUI ( Config., network, Inline), coloquei a placa ens256 no campo SNAT conforme manda o manual do packetfence.Alguém sabe como resolver isso? Minhas análises estão corretas? existe alguma outra forma de verificar se o NAT está ocorrendo?

alexabolada
(usa Debian)

Enviado em 11/10/2024 - 08:55h

Bom dia!

Parece que você está enfrentando um problema de NAT no PacketFence. Vou tentar te ajudar a esclarecer isso.

Primeiramente, você está certo ao verificar as regras do IPTables. O NAT deve ocorrer entre a VLAN 2 (onde os usuários recebem IP) e a VLAN 3 (que permite acesso à Internet).

Aqui estão algumas coisas que você pode verificar:

1. **Configuração do PacketFence**: Certifique-se de que a interface de rede correspondente à VLAN 3 (ens256) está corretamente configurada tanto no PacketFence quanto no sistema. Tanto a configuração de SNAT quanto a de firewall precisam estar corretas.

2. **Regras do IPTables**: As regras devem estar definidas para permitir o tráfego entre essas VLANs. Você pode adicionar regras específicas para permitir o NAT entre elas. Você pode verificar as regras com:

iptables -t nat -L -n -v

3. **Logs do PacketFence**: Verifique os logs do PacketFence. Às vezes, eles podem fornecer informações adicionais sobre o que pode estar errado.

4. **Verificações de conectividade**: Tente fazer um teste de conectividade entre as VLANs usando `ping` ou `traceroute` para confirmar que o tráfego está se movendo conforme esperado.

5. **Outras ferramentas**: Você pode usar ferramentas como `tcpdump` para capturar pacotes nas interfaces de rede

flaviotecnico
(usa Outra)

Enviado em 11/10/2024 - 09:06h

O que eu tenho é:
1701 109K SNAT all -- * ens192 y.y.y.y/20 (vlan 2) 0.0.0.0/0 to:x.x.x.x (vlan management)
0 0 SNAT all -- * ens192 z.z.z.z/20 0.0.0.0/0 to::x.x.x.x (vlan management)

Pelo o que está aí, o NAT ocorre entre a vlan 2 e a management e isso é o default, como configurei na GUI a interface ens256 para SNAT, era para ocorrer o NAT entre a vlan 2 e a vlan 3.

Mesmo com a config. na GUI, eu precisaria fazer um aregra de iptables de NAT entre a vlan 2 e a vlan 3 ???

flaviotecnico
(usa Outra)

Enviado em 14/10/2024 - 19:20h

Havia um erro nas rotas.
Depois de acrescidas rotas estáticas adequadas o SNAT passou a funcionar.
Muito obrigado AlexaBolada pela sua atenção.