Source Network Address Translation

fairmatik

Hallo

Kurze Frage, wie wird am einfachsten Source NAT aktivert?
Folgende Anforderung (Bild unten), die Anfrage von PublicIP-XYZ
wird auf das LAN-Interface von pfSense übersetzt, so
dass der Mailserver meint, die Anfrage kommt von
der pfSense.

Gruess
Adi

HTTPS-Request from Outside
      PublicIP-XYZ
          |
[PFSense WAN: PublicIP.7]
          |
          |
  NAT&Rule on PFSENSE
  HTTPS to Mailserver
          |
Translate PublicIP-XYZ
to the lokal Interface
    (192.168.0.1)
          |
          |
[PFSense LAN: 192.168.0.1]
Source-NAT/Rule on PFSENSE
          |
          |
[MailServer LAN: 192.168.0.25]

JeGr

Hm, was willst du mit der Konstellation eigentlich erreichen?
So wie ich das sehe, hast du nen Mailserver intern stehen, den du per HTTPS erreichen willst. Reicht dir da eine Port-Weiterleitung nicht? Was willst du mit einer Source-NAT anstellen?

fairmatik

Defaultgateway-Problematik umgehen, PFSENSE 1 hält Defaultgateway für's LAN:

Mein ISP vergibt 2 DHCP-Adressen und benötigt wird HTTPS auf Server 1, resp. Server 2
ohne Source-NAT erfolgt die Rückantwort HTTPS-Request auf 89.x.x.Y (NAT an Server 2)
über pfsense1.

Bessere Idee?

                         [Modem/ISP]
                               |
                               |
   |---+----------------- WAN 89.x.x.x --------------+---|
       |                                             |
       | WAN DHCP 2                                  | WAN DHCP 1
       | (89.x.x.Y)                                  | (89.x.x.W)
       |                                             |
   [pfsense2]        DMZ 172.16.0.x/24 -+--------[pfsense1]
 LAN   |                                |      DMZ   |    LAN
 .253  |                                |      .254  |    .254	
       |                                |            |
       |                                |DMZ  GW     |
       |                                |.100 .254   |
       |                                |            |
       |                            [Server1]        |
       |                       NAT 443 (89.x.x.W)    |
       |                                             | 
       |                                             |
   |---+-------------+- LAN 192.x.x.x/24 ------------+---|
                     |
                     |LAN  GW
                     |.200 .254
                     |
                 [Server2]
             Source-NAT LAN.253 Port 443 (89.x.x.Y)

GruensFroeschli

Wieso konfigurierst du nicht die zweite IP die du erhälst auch auf der pfSense1?

Damit werden die anfragen für beide IP's an die gleiche pfSense gestellt und die state-table sorgt dafür, dass die antwort über die richtige IP wieder rausgeht.

JeGr

Danke werter Frosch ;) Das war genau die Frage die ich mir auch gestellt habe. Mehrere IPs auf die pfS zu binden ist ja kein Thema. Wir bekommen auch feste IPs per DHCP - wenn man mit dem ISP spricht und die eh die IP nicht ändern, ist das kein Thema wenn man die statisch auf der pfS definiert.