@kapvcop said in Problemas con NAT en FW de borde:
Hola amigos , tengo este problema, les resumo a grandes rasgos, verán tengo una LAN con varias VPN y utilizamos VLSM para los segmentos de redes repartidos entre las VPN esto en la sección de acceso, luego en la de distribución y finalmente en la fase router core (si utilizamos la metodología por capas de CISCO) definimos que las rutas 0.0.0.0/0 sea enviada por una conexión /30 al FW de borde que finalmente es un PFSENSE instalado en un appliance.
El problema?, si yo envío el trafico 0.0.0.0/0 (o internet) al FW se me presenta una lentitud terrible y no he podido corregirlo, me parece que el tema viene por el NAT ya que yo envio todo trafico desconocido al siguiente salto que es el FW por ejemplo la 10.0.0.2/30 que es mi PFsense, ahora si yo el NAT lo hago en el router core la navegación funciona perfectamente y sin demora alguna pero obviamente el FW registra direcciones tipo 10.0.0.1 con cualquier puerto efímero y para acciones de auditoría es muy pero muy engorroso "cazar" una ip provada y el puerto que genero con la que "llego" al FW.
Amigos como puedo decirle al PFsense que el trafico que llega desde la /30 sea nateado a la entrada (del FW) y no que venga nateado desde el RT CORE?. Espero haber resumido bien mi problema y agradezco por adelantado cualquier sugerencia o corrrectivo que puedan hacerme.
Gracias hasta pronto...
Hello friends 😊, I have this problem, I summarize in broad strokes, you will see I have a LAN with several VPNs and we use VLSM for the network segments distributed among the VPNs this in the access section, then in the distribution section and finally in the phase router core (if we use the CISCO layered methodology) we define that routes 0.0.0.0/0 be sent by a / 30 connection to the edge FW, which is finally a PFSENSE installed on an appliance.
The problem? If I send the traffic 0.0.0.0/0 (or internet) to the FW, it appears to me a terrible slowness and I have not been able to correct it, it seems to me that the issue comes from the NAT since I send all unknown traffic to the next Jump, which is the FW, for example 10.0.0.2/30, which is my PFsense, now if I do the NAT in the core router, the navigation works perfectly and without any delay, but obviously the FW registers addresses type 10.0.0.1 with any port ephemeral and for auditing actions it is very, very cumbersome to "hunt" a proven IP and the port that I generate with which I "arrive" at the FW.
Friends, how can I tell the PFsense that the traffic that arrives from the / 30 is swimming at the entrance (of the FW) and not that it comes swimming from the RT CORE? I hope I have summarized my problem well and I would like to thank you in advance for any suggestions or corrections you can make to me.
Thank you, see you soon...
