8
Portforwarding, NAT mit mehreren Pfsensen
Hallo Gemeinde,
hab mir jetzt schon genügend Input geholt, stehe aber immer noch etwas im Dunkeln. Folgendes: 1 Pfsense mit öffentlicher IP, dahinter 2x virtuelle Pfsense mit unterschiedlichen Netzen, dahinter diverse Server. Die Netze sind unabhängig voneinander. Die zwei virtuellen Pfsensen sollen per OpenVPN von außen erreichbar sein. Ich frage mich, wie ich das am besten realisiere. Bei der Hardware ist aktuell kein Spielraum für neue HW vorhanden. Meine Überlegung wäre gewesen jeweils ein Portforwarding (zB UDP 1194 und UDP 1195 auf die virtuellen Pfsensen einzurichten. Und auf den virtuellen Pfsensen ein Outbound NAT einzurichten. Und natürlich noch die passenden Firewallregeln.
Ist Portforwarding hier der richtige Ansatzpunkt dafür?
Danke schonmal für eure Antworten.
Tzzz90
hab mir jetzt schon genügend Input geholt, stehe aber immer noch etwas im Dunkeln. Folgendes: 1 Pfsense mit öffentlicher IP, dahinter 2x virtuelle Pfsense mit unterschiedlichen Netzen, dahinter diverse Server. Die Netze sind unabhängig voneinander. Die zwei virtuellen Pfsensen sollen per OpenVPN von außen erreichbar sein. Ich frage mich, wie ich das am besten realisiere. Bei der Hardware ist aktuell kein Spielraum für neue HW vorhanden. Meine Überlegung wäre gewesen jeweils ein Portforwarding (zB UDP 1194 und UDP 1195 auf die virtuellen Pfsensen einzurichten. Und auf den virtuellen Pfsensen ein Outbound NAT einzurichten. Und natürlich noch die passenden Firewallregeln.
Ist Portforwarding hier der richtige Ansatzpunkt dafür?
Danke schonmal für eure Antworten.
Tzzz90
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 480388
Url: https://administrator.de/forum/portforwarding-nat-mit-mehreren-pfsensen-480388.html
Ausgedruckt am: 15.04.2025 um 22:04 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
der tiefere Sinn von 2x pfSense nach 1x pfSense?
VG
der tiefere Sinn von 2x pfSense nach 1x pfSense?
VG
Was Du bauen willst ist vermutlich dahinter zwei VLAN‘s?
Auf der ersten pfSense unter Firewall -> Nat eine Regel erstellen und unten bei Filter rule association "add associated filter rule" nicht vergessen. Ich würde aber die möglichen Netze noch eingrenzen, die sich verbinden können. Wenn das Gegenüber feste IPs hat, dann gleich an die IP binden. Vielleicht willst du die erste pfSense gegen etwas anderes austauschen, denn sonst hast du zwei mal die gleiche FW hintereinander. Zwei mal die gleiche Sicherheitslücke, wenn es dumm läuft und dann hast du von der Kaskade nichts. Ich nehme mal an, dass du sie eingerichtet hast, weil du zwei Hürden haben möchtest.
Hi,
-
Wenn du pro virtueller pfSense eine öffentliche IP zur Verfügung hast, würde ich auf der Hardware pfSense (Perimeter Gateway) Bridging bevorzugen um nicht ggf. mehrfach zu natten.
CH
Ist Portforwarding hier der richtige Ansatzpunkt dafür?
Wenn du nur eine öffentliche IP hast, verwenden kannst : Ja-
Wenn du pro virtueller pfSense eine öffentliche IP zur Verfügung hast, würde ich auf der Hardware pfSense (Perimeter Gateway) Bridging bevorzugen um nicht ggf. mehrfach zu natten.
CH
Sind zwei bestehende Systeme. Das ganze ist aktuell auch erstmal nur eine temporäre Lösung.
Ja, ist nur eine öffentliche IP. Das ganze ist auch etwas chaotisch und nur eine temporäre Lösung. Anders geht's aktuell nicht.
So geht es leider auch nicht. Zumindest so, wie du es aufbaust.
jeweils ein Portforwarding (zB UDP 1194 und UDP 1195 auf die virtuellen Pfsensen einzurichten.
Das ist in der Tat die einzig mögliche Lösung.Die Kardinalsfrage zu diesem Design steht aber schon oben: Warum diese 2 eigentlich überflüssigen Einzel Firewalls nach der Hauptfirewall.
Designmässig ist das völliger Unsinn, denn mann könnte die getrennten Netze auch so direkt an eine Firewall adaptieren.
Gibt es einen Grund für den Aufwand ?
Wenn ja, dann wäre es ggf. sinnvoller nur einen simplen Router zentral zu betreiben statt einer 3ten Firewall davor. Das Problem bzw. Lösung des Port Forwarding über unterschiedliche Inbound UDP Ports wäre aber auch dann gegeben.
