Tengo una LAN con un módem/router ADSL en ella. Acabamos de obtener una conexión a Internet de alta velocidad alternativa en nuestra ubicación, y quiero conectar la LAN a ella, abandonando eventualmente el ADSL.
He optado por utilizar una pequeña caja PFSense para conectar la LAN a la nueva conexión WAN.
Dos servidores en la LAN ejecutan servicios accesibles al exterior a través de NAT utilizando la única IP WAN de ADSL. Tenemos registros DNS que apuntan a esta IP. Quiero hacer lo mismo a través de la nueva conexión, utilizando la IP de la WAN allí. Esa conexión permite múltiples IPs, por lo que he configurado pfSense usando IPs virtuales, NAT 1:1 y reglas de firewall apropiadas.
Cuando cambio la configuración de la puerta de enlace por defecto de los servidores a la caja de pfSense, puedo acceder a los servicios a través de las nuevas IPs WAN sin problema. Sin embargo, ya no puedo acceder a ellos a través de la antigua IP WAN. Si vuelvo a poner la puerta de enlace por defecto de los servidores en el router ADSL, ocurre lo contrario: puedo acceder a los servicios a través de la IP ADSL, pero no a través de la nueva.
En el primer caso, creo que se debe a que un paquete SYN entrante llega a la IP de la ADSL WAN, y es NAT'd y enviado a la IP interna del servidor. El servidor responde con un SYN/ACK que envía a través de su puerta de enlace por defecto, la caja de pfSense. La caja de pfSense ve un SYN/ACK para el que no vio ningún SYN y deja caer el paquete.
¿Hay alguna forma sensata de evitarlo? Me gustaría que los servicios fuesen accesibles a través de ambas IPs al menos durante un corto periodo de tiempo, ya que una vez que cambie los DNS pasará un tiempo antes de que todo el mundo recoja la nueva dirección.