Source Network Address Translation



  • Hallo

    Kurze Frage, wie wird am einfachsten Source NAT aktivert?
    Folgende Anforderung (Bild unten), die Anfrage von PublicIP-XYZ
    wird auf das LAN-Interface von pfSense übersetzt, so
    dass der Mailserver meint, die Anfrage kommt von
    der pfSense.

    Gruess
    Adi

    HTTPS-Request from Outside
          PublicIP-XYZ
              |
    [PFSense WAN: PublicIP.7]
              |
              |
      NAT&Rule on PFSENSE
      HTTPS to Mailserver
              |
    Translate PublicIP-XYZ
    to the lokal Interface
        (192.168.0.1)
              |
              |
    [PFSense LAN: 192.168.0.1]
    Source-NAT/Rule on PFSENSE
              |
              |
    [MailServer LAN: 192.168.0.25]


  • LAYER 8 Moderator

    Hm, was willst du mit der Konstellation eigentlich erreichen?
    So wie ich das sehe, hast du nen Mailserver intern stehen, den du per HTTPS erreichen willst. Reicht dir da eine Port-Weiterleitung nicht? Was willst du mit einer Source-NAT anstellen?



  • Defaultgateway-Problematik umgehen, PFSENSE 1 hält Defaultgateway für's LAN:

    Mein ISP vergibt 2 DHCP-Adressen und benötigt wird HTTPS auf Server 1, resp. Server 2
    ohne Source-NAT erfolgt die Rückantwort HTTPS-Request auf 89.x.x.Y (NAT an Server 2)
    über pfsense1.

    Bessere Idee?

                             [Modem/ISP]
                                   |
                                   |
       |---+----------------- WAN 89.x.x.x --------------+---|
           |                                             |
           | WAN DHCP 2                                  | WAN DHCP 1
           | (89.x.x.Y)                                  | (89.x.x.W)
           |                                             |
       [pfsense2]        DMZ 172.16.0.x/24 -+--------[pfsense1]
     LAN   |                                |      DMZ   |    LAN
     .253  |                                |      .254  |    .254	
           |                                |            |
           |                                |DMZ  GW     |
           |                                |.100 .254   |
           |                                |            |
           |                            [Server1]        |
           |                       NAT 443 (89.x.x.W)    |
           |                                             | 
           |                                             |
       |---+-------------+- LAN 192.x.x.x/24 ------------+---|
                         |
                         |LAN  GW
                         |.200 .254
                         |
                     [Server2]
                 Source-NAT LAN.253 Port 443 (89.x.x.Y)
    


  • Wieso konfigurierst du nicht die zweite IP die du erhälst auch auf der pfSense1?

    Damit werden die anfragen für beide IP's an die gleiche pfSense gestellt und die state-table sorgt dafür, dass die antwort über die richtige IP wieder rausgeht.


  • LAYER 8 Moderator

    Danke werter Frosch ;) Das war genau die Frage die ich mir auch gestellt habe. Mehrere IPs auf die pfS zu binden ist ja kein Thema. Wir bekommen auch feste IPs per DHCP - wenn man mit dem ISP spricht und die eh die IP nicht ändern, ist das kein Thema wenn man die statisch auf der pfS definiert.


Log in to reply