Verschiedene LAN IP Bereiche auf bestimmte WAN Adressen
-
Hallo zusammen,
ich gerate grade bei der Umstellung eines bestehenden Systems ein wenig ins Grübeln.
Aufbau ist wie folgt (vereinfacht):
"Echtes" WAN (Router 10.0.0.1/16)
:
:
:
.–---+----------.
| Filterserver |
'-----+----------' 10.0.0.100/16
|
WAN (intern)
|
.-----+-----. 10.0.0.99/16 WAN Interface pfSense
| pfSense
'-----+-----' 192.168.0.0/16 LAN Interface pfSense
|
|
|___ LAN Segment 1 | 192.168.10.0/24
|
|______ LAN Segment 2 | 192.168.20.0/24
|
|_________ LAN Segment 3 | 192.168.30.0/24
|
|____________ LAN Segment 4 | 192.168.40.0/24Ich möchte nun erreichen, dass die einzelnen "Segmente" am LAN Port der pfSense nicht einfach im internen WAN
als 10.0.0.99 erscheinen (was wegen dem normalen NATTting ja nun so passiert, sondern für jeden Bereich eine
einzelne (wohl virtuelle) IP benutzen, damit der Filterserver die Segmente unterscheiden kann.Hatte im Kopf manuelle outbound rules und dann für jedes Segment eine eigene virtuelle IP zu bauen, oder hat jemand eine
bessere Idee?LG
-
Wir wäre es mit der einfachsten Lösung… NAT auf dem WAN-Interface deaktivieren.
-
Wie sollen dann die 192er Adressen in das 10er Netz umgesetzt werden? ???
-
Routing für die 192.* Netze im 10.0.0.0 Netz einrichten, außer du willst wirklich nach "außen" nicht mit deinen 192.* Netzen sichtbar sein.
Ich würde auch mal über VLANs nachdenken, das zusammenfassen deiner 4 Segmente durch eine /16 Subnetzmaske
ist ein wenig krank. -
Wenn NAT gewünscht ist, ist das nach wie vor einfach zu lösen. Es muss nur auf advanced NAT umgestellt werden und für jeden Netzbereich eine eigene NAT Regel definiert werden. Zusätzlich legt man per Virtual IP auf dem "WAN" zusätzliche IPs auf, die dann beim NAT verwendet werden können.
Grüße
-
Hallo zusammen,
habe es jetzt mit Hilfe eines Kollegen gelöst bekommen. Hierfür waren lediglich NAT Regeln und
keine zusätzlichen IP Aliases nötig.
-
Das ist zwar nicht das was du beschrieben hast (deine Rede war von EINER Adresse auf MEHRERE 192er, deshalb der Rat, das alles auf eine zu mappen mit Adv. NAT), aber wenn das Resultat das ist was du haben wolltest, ist es doch auch gut :)