PFSense als transparenter Proxy mit Squid inkl Firewall ohne NAT (Bridge Modus)



  • Hallo zusammen,
    ist die o.g. Konfiguration also die PFSense als transparenter Proxy mit Squid inkl. Firewall ohne NAT arbeiten zu lassen möglich? Also in einer Art Bridge Modus zwischen WAN und LAN die genannten Funktionen ausführen?
    Hintergrund ist das ich ein Netz mit diversen Subnetzen übernommen habe und im nachgeschaltetem Router VLANs aktivieren möchte. Würde es funktionieren bräuchte ich nur einmal zu NAT(en).
    Modem -> PFSense = kein NAT
    PFSense -> Router = kein NAT????
    Router -> VLAN Switches = NAT

    Freue mich über jeden Tipp!

    Danke und Gruß,
    pfsenselearner



  • 1.    Navigate to Firewall > NAT on the Outbound tab
    2.  Select Disable Outbound NAT rule generation (No Outbound NAT rules)
    3.    Click Save
    4.  Apply changes

    https://doc.pfsense.org/index.php/Outbound_NAT

    Ich wüsste nicht, warum das nicht gehen sollte.

    Gruß
    pfadmin


  • Moderator

    Ich wüsste nicht, warum das nicht gehen sollte.

    Weil hier die pfSense direkt an ein Modem geklemmt wird. Modem heißt - im Normalfall - PPPoE oder -A. Das wiederum kann nicht ohne NAT betrieben werden, schließlich bekommt man per Modem im Normalfall nur eine IP und somit muss logischerweise abgehender Traffic genattet werden, sonst funktioniert gar nichts. Und die NAT findet da statt, wo die IP anliegt, also auf der pfSense wenn die hinter dem Modem hängt. Ergo: nein, ohne NAT klappt das meines Erachtens nicht.

    Was allerdings die nachgeschalteten VLANs mit NAT zwischen dem Router und der pfSense davor zu tun haben, erschließt sich mir nicht. Zwischen den beiden Kisten - pfSense und Router dahinter - muss ja nicht genattet werden. Aber abgehender/eingehender Traffic über die pfSense nach extern muss natürlich via NAT raus, deshalb geht es nicht hier wie pfadmin schreibt die NAT abzuschalten. Dann wäre kein Internet Zugriff mehr möglich.

    Gruß



  • Ja da hast du natürlich recht, wenn hier eine Umsetzung öffentliche IPs zu privaten IPs nötig ist. Und das ist es eigentlich immer. Grundsätzlich sollte die Antwort aber schon korrekt sein, da NAT ja nur eine Krücke ist und mit dem transparenten Proxy und den VLANs irgendwo dahinter nichts zu tun hat. Oder?

    Gruß
    pfadmin


  • Moderator

    @pfadmin: War gar keine Kritik an dir, aber wenn an die pfSense ein Modem - oder überhaupt der Uplink ins Netz - ran soll, sehe ich nicht, dass das ohne Nutzung von NAT funktionieren kann, denn für irgendwas wirst du dann NAT brauchen. Der Antworttraffic vom Netz muss ja umgeschrieben werden und das kann er nur da, wo das WAN terminiert ist -> also auf der pfSense. Ohne NAT kanns da eigentlich dann nicht klappen. Was allerdings dahinter gebaut ist, da müsste es nicht unbedingt nochmal NAT geben, das hängt aber ganz von der Topologie und Netzkonfiguration bzw. dem Einsatz der VLANs ab :)

    Grüße



  • nee war auch gar nicht so gemeint.  ::)  Bin auch kein Diplomat geworden  8)