Ayuda para ruteo entre 2 pfSense, interno y externo.

_neok

Hola, disculpen mi falta de experiencia. Les quería pedir ayuda para armar un ruteo básico para mí LAN.
Pienso usar un pfSense de firewall edge contra internet. Este tendría una interfaz WAN, una LAN, y otra para DMZ. Los roles que ejecutaría son firewall, nat, y router. (Lo llamaré fw1)
Quiero usar otro pfSense contra mí LAN que va a funcionar de proxy transparente. (Lo llamaré px1) Los roles que ejecutaría son firewall, proxy server, router.
Estoy teniendo problemas porque no sé cómo armar el ruteo y subneteo para que el proxy salga a internet directamente a través del firewall edge.
Pongo algunos ejemplos de cómo entiendo que debo hacer el ruteo.
Tráfico de salida:
LAN client internet request > Proxy Server > Firewall Edge > Internet.
LAN client DMZ resource request > Proxy Server > DMZ resource.
Tráfico de entrada:
Internet > Firewall Edge> DMZ resource.
DMZ resource > Proxy Server > LAN resource.

La verdad no sé cómo hacer el subneteo, es decir cómo armar la lógica de direccional IP.

Hasta ahora solo había usado pfSense de uno a la vez, nunca había configurado uno externo junto con uno interno.

Cualquier ejemplo me serviría muchísimo.
Desde ya les estoy muy agradecido.
Gabriel

periko

Te recomiendo hacer un diagrama de tu red con los equipos con datos de tus subredes, etc, toda la info que ayude a entender mejor tu problema, saludos.

gersonofstone

Muy importante lo que dice periko.

Por otro lado por que no crear un cluester y que todo pase por el (LAN, DMZ y WAN) con eso  tienes alta disponibilidad y una red mas limpia y organizada

_neok

@periko:

Te recomiendo hacer un diagrama de tu red con los equipos con datos de tus subredes, etc, toda la info que ayude a entender mejor tu problema, saludos.

Perfecto, mañana mismo subo un diagrama.
Muchas gracias por la buena onda.
Saludos!!!!!!

_neok

@:

Muy importante lo que dice periko.

Por otro lado por que no crear un cluester y que todo pase por el (LAN, DMZ y WAN) con eso  tienes alta disponibilidad y una red mas limpia y organizada

Muchas gracias por la idea. Mientras lo voy pensando más me cierra este modelo que me mencionas.
Según lo que me dices, podría tener un sólo fSense (en clúster) que haría de Firewall-NAT-Proxy y también de router. Es así?
Por favor, ten en cuenta que necesito rutear ciertas conexiones externas a algunos servidores dentro de la DMZ (Mail Server, FTP, etc) y estos servidores también deben ser accesibles desde mi LAN obviamente.

Si lo puedo hacer así, entonces voy a preferir este modelo tuyo al que yo mencioné al principio. Por favor me dices si es posible hacerlo así?

Muchas gracias!

_neok

@:

Muy importante lo que dice periko.

Por otro lado por que no crear un cluester y que todo pase por el (LAN, DMZ y WAN) con eso  tienes alta disponibilidad y una red mas limpia y organizada

Finalmente decidí hacerlo con un sólo Firewall, en ves de dos como me sugeriste, en modo HA.

Muchas gracias.