PfSense mit vorgeschalteter Firewall (NAT/Portforwarding)



  • Hallo,
    bei einem Kunden existiert eine Fortinet-Firewall mit 3 Schnittstellen (WAN, LAN, DMZ)

    WAN (Internet)
    (((Fortinet)))  DMZ (192.168.1.1)
    LAN (10.10.10.1) 
      |
    Verwaltungsnetz (10.10.10.x/24)

    An der LAN-Schnittstelle (10.10.10.1) hing bisher das komplette Verwaltungsnetz (aber auch ein paar interne Server).

    Jetzt soll zwischen LAN und Verwaltungsnetz eine pfSense mit Captive-Portal zum Einsatz kommen.

    Neue Konfiguration also in etwa so:

    WAN
    (((Fortinet))) DMZ (192.168.1.1) –- DMZ-Servernetz (192.168.1.x/24)
    LAN
      |
    WAN
    (((pfsense)))
    LAN (10.10.10.1)
      |
    Verwaltungsnetz (10.10.10.x/24)

    Vorab ein paar Bedingungen:
    1. Die Fortinet ist gesetzt (wird nicht durch die pfSense ersetzt)
    2. Bridge der WAN/LAN-Ports auf der pfSense ist leider keine Option, da dann der transparente Proxy nicht mehr funktioniert.
    3. Die IP-Adressen des Verwaltungsnetzes (10.10.10.x) dürfen nicht geändert werden

    • Wie löse ich das Problem, dass von der WAN-Schnittstelle der Fortinet Portforwardings auf interne Server im Verwaltungsnetz (10.10.10.x) durchgeführt werden?
    • Die Rechner / Server aus dem Verwaltungsnetz (10.10.10.x) müssen auch auf die DMZ (192.168.1.x) zugreifen können (wird wahrscheinlich durch einfaches Routing funktionieren, oder?)

    Ziel ist es, dass die Portforwardings direkt durchgeschleust werden von der WAN-Schnittstelle Fortinet auf die entsprechenden Server im Verwaltungsnetz.

    Vielen Dank
    kallegr