Netzwerk mit 15 Subnetzen, PFSense und Mikrotik X2AH Routerboard
Hallo zusammen,
ich habe ein Schulnetz übernommen. Es besteht aus 15 Subnetzen, PFSense als Firewall, 15 Linksys WRT54GL, 4 Zyxel Layer2 Switch und 1 Cisco Layer2 Switch.
In den Ferien möchte ich es endlich auf VLAN umstellen und mich von den Linksys Routern verabschieden.
Dazu hätte ich folgende Frage:
Macht es Sinn die PFSense als reine Firewall zu benutzen und ein Mikrotik X2AH Routerboard direkt dahinter zu schalten? Auf diese Weise könnte ich zwar die Firewall und die VLANs trennen hätte aber wieder doppeltes NAT. Wir haben eine 150 Mbit/s Leitung von Unitymedia die sich ca. 80 Rechner teilen.
Würde mich über jede Antwort freuen!
Gruß Kartoffelesser
ich habe ein Schulnetz übernommen. Es besteht aus 15 Subnetzen, PFSense als Firewall, 15 Linksys WRT54GL, 4 Zyxel Layer2 Switch und 1 Cisco Layer2 Switch.
In den Ferien möchte ich es endlich auf VLAN umstellen und mich von den Linksys Routern verabschieden.
Dazu hätte ich folgende Frage:
Macht es Sinn die PFSense als reine Firewall zu benutzen und ein Mikrotik X2AH Routerboard direkt dahinter zu schalten? Auf diese Weise könnte ich zwar die Firewall und die VLANs trennen hätte aber wieder doppeltes NAT. Wir haben eine 150 Mbit/s Leitung von Unitymedia die sich ca. 80 Rechner teilen.
Würde mich über jede Antwort freuen!
Gruß Kartoffelesser
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323864
Url: https://administrator.de/contentid/323864
Ausgedruckt am: 09.11.2024 um 01:11 Uhr
18 Kommentare
Neuester Kommentar
Zitat von @kartoffelesser:
ich habe ein Schulnetz übernommen. Es besteht aus 15 Subnetzen, PFSense als Firewall, 15 Linksys WRT54GL, 4 Zyxel Layer2 Switch und 1 Cisco Layer2 Switch.
Wo kommen denn die 15 Subnetze her? Werden die Linksys als Router betrieben und haben jeweils ein eigenes IP-Netz?ich habe ein Schulnetz übernommen. Es besteht aus 15 Subnetzen, PFSense als Firewall, 15 Linksys WRT54GL, 4 Zyxel Layer2 Switch und 1 Cisco Layer2 Switch.
Wenn ja, warum ist das so?
Zitat von @kartoffelesser:
Macht es Sinn die PFSense als reine Firewall zu benutzen und ein Mikrotik X2AH Routerboard direkt dahinter zu schalten?
Welches Ziel verfolgst Du damit?Macht es Sinn die PFSense als reine Firewall zu benutzen und ein Mikrotik X2AH Routerboard direkt dahinter zu schalten?
Gruß
sk
Zitat von @kartoffelesser:
VIELEN Dank für die Antworten!
@ashnod
Das doppelte NAT sehe ich bei der Nutzung Kabelmodem zu PFSence und PFSence zu Mikrotek. Moment - mache ich da einen Denkfehler? Kabelmodem zu PFSense macht kein NAT? Sorry!!
VIELEN Dank für die Antworten!
@ashnod
Das doppelte NAT sehe ich bei der Nutzung Kabelmodem zu PFSence und PFSence zu Mikrotek. Moment - mache ich da einen Denkfehler? Kabelmodem zu PFSense macht kein NAT? Sorry!!
Du kannst sowohl pfSense als auch Mikrotik ohne NAT betreiben, von daher hast du ausreichend Spielraum.
Handelt es sich um ein wirkliches Kabelmodem oder ist das auch ein Router?
Ansonsten kannst du die ersten beiden Varianten umsetzen, je nach Geschmäckle .
Die Router einzeln austauschen würde ich eher lassen ..
VG
Ashnod
Ahoi ...
Liegt evtl. an mir, aber das mit deinem NAT-Problem verstehe ich nicht wirklich.
Du kannst dein Setup so gestalten, das du nur einmal NAT verwenden wirst
Wo du das NAT haben wirst hängt eigentlich nur von deinem Verbindungstyp ab, das musst du mal genauer klären was dir der Anbieter da hinstellt.
Gehen wir mal davon aus das NAT auf der pfSense liegen wird dann kannst du das im Mikrotik ausstellen.
Ein zusätzliches NAT hinter der FW macht einfach keinen Sinn mehr.
pfSense würde ohne NAT wie gewohnt arbeiten ... nur eben ohne NAT.
Du könntest dein VLANs genauso auf der pfSense anlegen und verwalten oder den Mikrotik in einem Netz dahinter die Aufgabe übernehmen lassen .. oder auch einen L3 Switch besorgen der noch besser harmonieren würde.
Eine andere Frage die ich mir noch stelle, haben die 15 WRT-Router evtl. auch als AP gedient und WLAN verteilt?
Dein Hauptproblem ist eigentlich das du mit deinem Netzwerk und der vorhandenen Hardware etliche Konfigurationsmöglichkeiten hast die alle gut funktionieren.
Du musst dich jetzt nur für einen weg entscheiden. Der wichtigste aus meiner Sicht ist der herauszufinden was an deinem Anschluss nun wirklich liegt.
VG
Ashnod
Liegt evtl. an mir, aber das mit deinem NAT-Problem verstehe ich nicht wirklich.
Du kannst dein Setup so gestalten, das du nur einmal NAT verwenden wirst
Wo du das NAT haben wirst hängt eigentlich nur von deinem Verbindungstyp ab, das musst du mal genauer klären was dir der Anbieter da hinstellt.
Gehen wir mal davon aus das NAT auf der pfSense liegen wird dann kannst du das im Mikrotik ausstellen.
Ein zusätzliches NAT hinter der FW macht einfach keinen Sinn mehr.
pfSense würde ohne NAT wie gewohnt arbeiten ... nur eben ohne NAT.
Du könntest dein VLANs genauso auf der pfSense anlegen und verwalten oder den Mikrotik in einem Netz dahinter die Aufgabe übernehmen lassen .. oder auch einen L3 Switch besorgen der noch besser harmonieren würde.
Eine andere Frage die ich mir noch stelle, haben die 15 WRT-Router evtl. auch als AP gedient und WLAN verteilt?
Dein Hauptproblem ist eigentlich das du mit deinem Netzwerk und der vorhandenen Hardware etliche Konfigurationsmöglichkeiten hast die alle gut funktionieren.
Du musst dich jetzt nur für einen weg entscheiden. Der wichtigste aus meiner Sicht ist der herauszufinden was an deinem Anschluss nun wirklich liegt.
VG
Ashnod
Aus meinser Sicht ist das bisherige Design grundsätzlich zu hinterfragen. Dass z.B. jeder Linksys-AP bisher ein separates IP-Netz bereitstellt erscheint mir jedenfalls weitgehend sinnlos und dürfte schlicht aus Unkenntnis so implementiert worden sein.
Üblicherweise unterteilt man ein Netzwerk (am gleichen Standort) aus folgenden Gründen in mehrere IP-Netze:
1) Um die Broadcastdomain klein zu halten (Performence)
2) Um Bereiche mit unterschiedlichen Sicherheitsanforderungen gegeneinander abschotten zu können.
Bei 1) genügt es, zwischen diesen Netzen zu routen.
Bei 2) bedarf es auf der Routinginstanz eines entsprechenden Regelwerkes (z.B. statische ACLs auf einem L3-Switch oder besser SPI auf einer Firewall)
Mal als Blaupause:
Ich betreibe an knapp 20 Standorten Schulnetze. Alle haben jeweils folgende Sicherheitszonen:
a) Management-Netz für Aktivkomponenten wie Switche, Router etc. (hierauf haben nur die Admins Zugriff)
b) Management-Netz für die Accesspoints (separat, weil diese Ports in der Regel ungeschützt zugänglich sind - sich da also jeder ranklemmen könnte; Hier kann nur mit dem WLAN-Controller kommuniziert werden - sonst nix)
c) GLT-Netz (Heizungssteuerung, PV-Anlage, Überwachungskamaeras etc.)
d) ggf. VOIP-Netz für Telefonie
e) Verwaltungsnetz (Arbeitsplätze für Sekretärin, Schulleitung etc.)
f) pädagogisches Netz (schuleigene Geräte für den Unterricht; i.d.R. von Schülern genutzt; je nach Endgerät kabelgebunden oder per WLAN)
g) Gäste-Netz für Fremdgeräte (nur Internet; in der Regel nur per WLAN bereitgestellt; Authentifizierung per WPA2-Enterprise)
Jedes dieser Netze ist eine eigene Sicherheitszone. Der Übergang von einer Zone zur anderen wird per Firewall reglementiert. Aus dem pädagogischen Netz darf z.B. nicht aufs Verwaltungsnetz zugegriffen werden usw.
Innerhalb der gleichen Sicherheitszone kann es bei Bedarf selbst am gleichen Standort durchaus mehrere VLANs/IP-Netze geben. So z.B. haben wir an einigen Standorten nur im pädagogischen Netz bereits mehr als 255 Hosts und da wir mit /24er IP-Netzen arbeiten, gibt es innerhalb der gleichen Zone und am gleichen Standort dann z.B. 2 VLANs und 2 IP-Netze für das pädagogische Netzwerk. Dazwischen wird dann aber aus Performencegründen nur geroutet (kein Firewalling).
Gruß
sk
Üblicherweise unterteilt man ein Netzwerk (am gleichen Standort) aus folgenden Gründen in mehrere IP-Netze:
1) Um die Broadcastdomain klein zu halten (Performence)
2) Um Bereiche mit unterschiedlichen Sicherheitsanforderungen gegeneinander abschotten zu können.
Bei 1) genügt es, zwischen diesen Netzen zu routen.
Bei 2) bedarf es auf der Routinginstanz eines entsprechenden Regelwerkes (z.B. statische ACLs auf einem L3-Switch oder besser SPI auf einer Firewall)
Mal als Blaupause:
Ich betreibe an knapp 20 Standorten Schulnetze. Alle haben jeweils folgende Sicherheitszonen:
a) Management-Netz für Aktivkomponenten wie Switche, Router etc. (hierauf haben nur die Admins Zugriff)
b) Management-Netz für die Accesspoints (separat, weil diese Ports in der Regel ungeschützt zugänglich sind - sich da also jeder ranklemmen könnte; Hier kann nur mit dem WLAN-Controller kommuniziert werden - sonst nix)
c) GLT-Netz (Heizungssteuerung, PV-Anlage, Überwachungskamaeras etc.)
d) ggf. VOIP-Netz für Telefonie
e) Verwaltungsnetz (Arbeitsplätze für Sekretärin, Schulleitung etc.)
f) pädagogisches Netz (schuleigene Geräte für den Unterricht; i.d.R. von Schülern genutzt; je nach Endgerät kabelgebunden oder per WLAN)
g) Gäste-Netz für Fremdgeräte (nur Internet; in der Regel nur per WLAN bereitgestellt; Authentifizierung per WPA2-Enterprise)
Jedes dieser Netze ist eine eigene Sicherheitszone. Der Übergang von einer Zone zur anderen wird per Firewall reglementiert. Aus dem pädagogischen Netz darf z.B. nicht aufs Verwaltungsnetz zugegriffen werden usw.
Innerhalb der gleichen Sicherheitszone kann es bei Bedarf selbst am gleichen Standort durchaus mehrere VLANs/IP-Netze geben. So z.B. haben wir an einigen Standorten nur im pädagogischen Netz bereits mehr als 255 Hosts und da wir mit /24er IP-Netzen arbeiten, gibt es innerhalb der gleichen Zone und am gleichen Standort dann z.B. 2 VLANs und 2 IP-Netze für das pädagogische Netzwerk. Dazwischen wird dann aber aus Performencegründen nur geroutet (kein Firewalling).
Gruß
sk
Als Berliner kann ich mit Unitymedia halt nicht viel anfangen und kenne das Angebot so gar nicht geschweige denn die Technik.
Ich gehe mal von einem Router aus sonst klappt das mit dem Bridge-Modus auch kaum ...
also IP wie du selbst schreibst auf die pfSense ... die macht dann auch das NAT als einziges Gerät in deinem Netz
Hinter der pfSense sind deine Möglichkeiten dann fast unbegrenzt.
Mal abgesehen von deinem etwas gestörten Verhältnis zu NAT funtionieren alle Varianten die du vorschlägst.
Eigentlich die Stelle an der du dich für eine entscheiden mußt und dann frisch und frei ans Werk
Ashnod
Ich gehe mal von einem Router aus sonst klappt das mit dem Bridge-Modus auch kaum ...
also IP wie du selbst schreibst auf die pfSense ... die macht dann auch das NAT als einziges Gerät in deinem Netz
Hinter der pfSense sind deine Möglichkeiten dann fast unbegrenzt.
Mal abgesehen von deinem etwas gestörten Verhältnis zu NAT funtionieren alle Varianten die du vorschlägst.
Eigentlich die Stelle an der du dich für eine entscheiden mußt und dann frisch und frei ans Werk
Ashnod
Zitat von @kartoffelesser:
Jedes VLAN würde ja dann auf der Mikrotik erstellt und bekommt dabei eine eigene Netzwerkadresse VLAN10 = 172.16.10.0 VLAN20 = 172.16.20.0 VLAN30 = ........ . Wenn nun die Clients ins I-Netz wollen werden sie an die PFSense weitergeleitet. Findet dabei nicht auch ein NAT statt? Oder mache ich schon wieder einen Denkfehler?
Jedes VLAN würde ja dann auf der Mikrotik erstellt und bekommt dabei eine eigene Netzwerkadresse VLAN10 = 172.16.10.0 VLAN20 = 172.16.20.0 VLAN30 = ........ . Wenn nun die Clients ins I-Netz wollen werden sie an die PFSense weitergeleitet. Findet dabei nicht auch ein NAT statt? Oder mache ich schon wieder einen Denkfehler?
Der Rest wird über Routing gelöst.
In das Netz (Transportnetz) der pfsense hängst du den router ein x.x.x.254
Legst dann statische Routen auf der pfs an da diese die Netze die der Router verwaltet nicht kennen kann.
172.16.10.0/24 > x.x.x.254
Und für den weg zur pfsense die default Route auf dem mikrotik zur pfsense
Ashnod
Zitat von @kartoffelesser:
@sk
Hast Du, mit Ausnahme des pädagogischen Netzes, weitere VLANs oder machst du die Trennung in Sicherheitszonen nur mit statische ACLs
oder SPIs? Das Management-Netz könnte man doch auch mit VLANs machen?
@sk
Hast Du, mit Ausnahme des pädagogischen Netzes, weitere VLANs oder machst du die Trennung in Sicherheitszonen nur mit statische ACLs
oder SPIs? Das Management-Netz könnte man doch auch mit VLANs machen?
Ich habe den Eindruck, dass Dir nicht klar ist, was Layer 2 und was Layer 3 und höher ist und wie das letztlich alles zusammenspielt.
Selbstverständlich sind das bei uns alles VLANs. Jedes IP-Netz wird in einem eigenen VLAN geführt. VLANs sind doch nur eine Virtualsierungstechnologie (von vielen). Alternativ könnte man auch für jedes Netz eigene Switche verwenden. Ab einer gewissen Komplexitätsstufe macht das aber heute niemand mehr. Viel zu teuer und unflexibel!
Mit VLANs kannst Du auf der gleichen Switch-Hardware auf Layer2 voneinander isolierte Netze bereitstellen. Von Spezialfällen wie asymmetrischen VLANs mal abgesehen können diese Netze nur noch dann miteinander kommunizieren, wenn es einen vermittelnden Mechanismus dazwischen gibt. Dieser Mechanismus wird einen logischen Layer höher (Layer 3) abgebildet. In aller Regel verwendet man heute auf Layer 3 das IP-Protokoll v4 und/oder v6. Der Vermittler nennt sich Router und trifft seine Routing- und Forwardingentscheidungen anhand von Ziel- und Absender-IP-Adressen. Erst auf dieser Ebene erfolgt ggf. eine Betrachtung nach Sicherheitskriterien bzw. die von mir oben eingeführte logische Klassifizierung nach Sicherheitszonen. Ein normaler Router würde einfach zwischen allen ihm bekannten IP-Netzen vermitteln. Wenn dies je nach Klassifizierung der beteiligten Netze nicht gewünscht ist, bedarf es an dieser Stelle einer entsprechenden Filterung. Ob man dies per statischer ACL oder per stateful Firewall macht, hängt von den Anforderungen ab.
Statische ACLs sind sehr perfomant und die erforderliche Hardware in Relation zum Durchsatz billig (idR ein sog. Layer3-Switch). Jedoch sind deren Möglichkeiten sehr begrenzt - eigentlich nur zum kompletten Unterbinden von Traffic wirklich zu gebrauchen. Sobald es differenzierter wird, kommt man um Stateful Packet Inspection nicht herum. Das erfordert aber wesentlich mehr Rechenleistung. Bei gleicher Durchsatzanforderung ist die Hardware für SPI daher deutlich teurer. Deshalb implenentiert man in größeren Umgebungen meist Mischformen.
Bei uns ist es z.B. so, dass sich alle Schulen gemeinsame Server teilen, welche jeweils in einem gesonderten IP-Netz/VLAN der gleichen Sicherheitszone liegen.
Beispiel:
A) Sicherheitszone "pädagogische Netze"
aa) Netz für gemeinsame pädagogische Server
ab) pädagogisches Netz Schule 1
ac) pädagogisches Netz Schule 2
B) Sicherheitszone "Verwaltungsnetze"
ba) Netz für gemeinsame Verwaltungsserver
bb) Verwaltungs-Netz Schule 1
bc) Verwaltungs-Netz Schule 2
ab) und ac) benötigen performanten Zugriff auf aa). Untereinander sollen sie nach Möglichkeit nicht direkt kommunizieren dürfen (wenn aus Versehen doch, wäre es aber auch kein Weltuntergang). Deshalb wird am Übergang zwischen diesen 3 Netzen vom Layer3-Switch geroutet und es gibt eine ACL auf dem Layer3-Switch, die (nur) den Zugriff der Schulen untereinander verbietet.
Selbiges gilt auch analog für die Sicherheitszone "Verwaltungsnetz". Auch hier erledigt das IP-Forwarding zum Netz ba) ein Router, welcher lediglich die Kommunikation zwischen bb) und bc) per statischer ACL verhindert.
Da sich aber die Sicherheitszone A und B einen gemeinsamen zentralen Internetzugang teilen und zudem teilweise Zugriffe von B) nach A) gewünscht sind (z.B. Drucker ansprechen) braucht es eine weitere Routinginstanz, welche differenzierter filtern kann. Hier kommt dann eine SPI-Firewall zum Einsatz. Diese muss aber nur noch den gemeinsamen Internetverkehr sowie den gewollten zonenübergreifenden Traffic verarbeiten und kann daher entsprechend günstiger ausfallen, als wenn alles über die Firewall laufen würde.
Das Szenario benötigt also eine gemeinsame (Backend-)Firewall sowie pro Sicherheitszone je einen Router mit statischen ACLs. Da wir etliche Sicherheitszonen mit mehreren Teilnetzen haben, bräuchten wir entweder sehr viele Router oder einen Router an dem alle Netze anliegen und bei dessen ACLs auf keinen Fall Fehlerkonfigurationen auftreten dürfen (was mir zu gefährlich wäre). Gott sei Dank hilft auch hier wieder die Virtualsierung: Auf den gleichen Coreswitches bilden wir einfach virtuell mehrere Routinginstanzen ab. Je Sicherheitszone eine eigene.
Gruß
sk
Zitat von @kartoffelesser:
@sk
Hier nochmal meine Bitte und Frage:
Kannst Du mir aktuelle Literatur zum Thema empfehlen?
@sk
Hier nochmal meine Bitte und Frage:
Kannst Du mir aktuelle Literatur zum Thema empfehlen?
Ich kenne einige Designguides z.B. von Cisco, aber dabei geht es um große Netze. Um Sicherheit, Verfügbarkeit und Performence. Insbesondere in Rechenzentren. Virtualisierung ist ein riesen Thema. Auch und gerade im Netzwerk. Das ist aber vermutlich alles mindestens fünf Nummern zu groß für Euch.
Selbstverständlich gibt es auch Bücher zu elementaren Grundlagen für kleine Netze. Das kann man sich aber auch sehr schnell im Netz zusammensuchen. Bitte die Suchmaschine Deines Vertrauens füttern.
Zielführender hier wäre, wenn Du mal das bisherige Netzdesign als Skizze darstellen würdest (physische und logische Topologie).
Bitte lege dar, wie das Vorhandene aktuell genutzt wird, was gut funktioniert und was nicht. Was soll künftig anders werden und warum? Rein funktional gesehen. Erst dann machen wir uns Gedanken um die Möglichkeiten zur Erreichung der Ziele. Du kommst hier von Beginn an mit vermeintlichen Lösungen um die Ecke (Einsatz von VLANs, Mikrotik, Ablösung Linksys-Router) und möchtest, dass wir das bewerten. Das ist aber nicht möglich, ohne die Anforderungen, die altuellen Defizite nebst der Ursachen, die Ziele und die konkret geplanten Konfigurationsänderungen zu kennen.
Wichtig wäre auch zu wissen, wer das dauerhaft administrieren soll, welches Skillevel und wieviel Zeit er dafür hat sowie welche Budget für Änderungen und für den späteren Betrieb (Folgekosten) zur Verfügung steht.
Gruß
sk
Hallo,
Sind Server und NAS oder gar SAN vorhanden?
ist wenn man dort richtig viele große Dateien hin und her schieben muss!
machen? Oder was soll die doppel NAT Situation die Du dann aufbaust?
oder was soll das denn nun wirklich?
Gruß
Dobby
ich habe ein Schulnetz übernommen.
Also Volladmin oder nur so für 4 Stunden nebenbei, oder Dein eigenes oder, oder, oder.....Es besteht aus 15 Subnetzen,
VLANs mit eigenem IP Adressbereich?PFSense als Firewall,
Auf welcher Hardware bitte?15 Linksys WRT54GL,
Und die sollen nun alle ersetzt werden?4 Zyxel Layer2 Switch und 1 Cisco Layer2 Switch.
Warum keinen gebrauchten Cisco SG300 oder anderen Layer3 Switch dazu der die eventuellen VLANs dann selber routet?Sind Server und NAS oder gar SAN vorhanden?
In den Ferien möchte ich es endlich auf VLAN umstellen und mich von den Linksys Routern verabschieden.
Ok, dann solltest Du aber vorher wissen das die VLANs wenn die pfSense diese routen muss, eventuell zu schwachist wenn man dort richtig viele große Dateien hin und her schieben muss!
Dazu hätte ich folgende Frage:
Macht es Sinn die PFSense als reine Firewall zu benutzen und ein Mikrotik X2AH Routerboard direkt dahinter zu schalten?
Soll das RouterBoard dann die VLANs routen weil die pfSense dafür zu schwach ist oder was soll das MikroTik RB1100AHx2Macht es Sinn die PFSense als reine Firewall zu benutzen und ein Mikrotik X2AH Routerboard direkt dahinter zu schalten?
machen? Oder was soll die doppel NAT Situation die Du dann aufbaust?
Auf diese Weise könnte ich zwar die Firewall und die VLANs trennen hätte aber wieder doppeltes NAT.
Also soll das MikroTik RB die VLANs routen und die pfSense soll dann das Captive Portal bereitstellen und den Squid Proxyoder was soll das denn nun wirklich?
Wir haben eine 150 Mbit/s Leitung von Unitymedia die sich ca. 80 Rechner teilen.
Mit dem RB kann man natürlich Queues anlegen zur Bandbreitenaufteilung.Gruß
Dobby
Also ich verstehe das Doppel-NAT Problem nicht.
Abgesehen davon, dass man einfach kein Doppel-NAT macht. Für was auch?
Du kannst das NAT entweder auf der PF Sense oder der MTik machen.
Wenn du am Unitymedia Modem (weil Bridge Mode) die PF Sense als FW dranhängst und die MTik die VLANs verwalten lässt brauchst du doch nur ein SrcNAT auf die Schnittstelle nach aussen legen. Ob das dann die PFSense macht oder die MTik ist egal. Wenn du ein SrcNAT auf die Schnittstelle nach aussen legst wird dieses von allen anderen Schnittstellen auch genutzt. Ob das jetzt dahinter 1, 3 oder 200 interne Netze sind, macht keinen Unterschied - alles was dann besagte "genattete" Schnittstelle (die nach Aussen) nutzt wird über das NAT gefahren.
Wo willst du dann danach ein weiteres NAT betreiben und wofür? Da fehlt mir noch der richtige Ansatz um dein Problem zu verstehen. Vielleicht stehe ich aber gerade auch nur am Schlauch, da ich krank bin und vermutlich im Fieberwahn hier schreibe
Abgesehen davon, dass man einfach kein Doppel-NAT macht. Für was auch?
Du kannst das NAT entweder auf der PF Sense oder der MTik machen.
Wenn du am Unitymedia Modem (weil Bridge Mode) die PF Sense als FW dranhängst und die MTik die VLANs verwalten lässt brauchst du doch nur ein SrcNAT auf die Schnittstelle nach aussen legen. Ob das dann die PFSense macht oder die MTik ist egal. Wenn du ein SrcNAT auf die Schnittstelle nach aussen legst wird dieses von allen anderen Schnittstellen auch genutzt. Ob das jetzt dahinter 1, 3 oder 200 interne Netze sind, macht keinen Unterschied - alles was dann besagte "genattete" Schnittstelle (die nach Aussen) nutzt wird über das NAT gefahren.
Wo willst du dann danach ein weiteres NAT betreiben und wofür? Da fehlt mir noch der richtige Ansatz um dein Problem zu verstehen. Vielleicht stehe ich aber gerade auch nur am Schlauch, da ich krank bin und vermutlich im Fieberwahn hier schreibe