pfSense - Full NAT?

[tb242]

Hallo,
in der pfSense kann man zwar ein Destination NAT konfigurieren, auch ein 1:1 NAT, alledrings fehlt mir die Option ein Full NAT zu machen. Hintergrund ist, dass ich in den internen Netzen grundsätzlich keine fremden Netze route. Bei einer Site-to-Site Verbindung lege ich mein Netz für diese Verbindung fest, hier lege ich meine zu errrichenden Ziele im internen Netz fest, welche ich dann mittels Destination NAT auf die echte IP umsetze. Gleichzeitig möchte ich ein Source-NAT auf die Quell-IP setzen. Von anderen Firewalls war ich hier ein Full-NAT gewohnt, dies scheint hier aber nicht möglich zu sein.

Also entweder übersehe ich etwas oder es geht tatsächlich nicht? Wenn die erste NAT-Rule greift (Destination-NAT), dann greift auch sicher keine weitere der nachfolgenden NAT-Rules, oder sehe ich das falsch?

VG Torsten

 

[the other]

Moinsen,
nutze ich so nicht, sollte aber gehen...
Erst machst du die Regel fürs inbound per zB Port Forwarding auf dem WAN
Machst du einmal die Regel fürs outbound.

Hier dazu aus dem pfsense/netgate Forum: https://forum.netgate.com/topic/165286/how-to-do-an-inbound-and-outbound-nat-at-the-same-time/5

 

[tb242]

Vielen Dank für deine Antwort, das schaue ich mir mal genauer an.
VG Torsten

 

[the other]

Moinsen,
viel Erfolg!
Sag gerne Bescheid, ob es dann am Ende auch geklappt hat wie du es wolltest / brauchst...

 

[tb242]

Alles klar, danke! Wird aber sicher ein paar Tage dauern, ich melde mich dann.

 

[tb242]

Hi,
hat eine ganze Weile gedauert, aber ich habe wirklich viel hin und her probiert...
Es funktioniert nicht. Das Destination-NAT funktioniert sauber, die separate ausgehende NAT-Regel (Source-NAT) hingegen nicht. Ich kann hier aber auch kein 1:1 NAT machen. Irgendwie muss es doch möglich sein, jede andere Firewall, die ich kenne, kann das...

VG Torsten

Nachtrag...
Ich habe nochmal alle NAT-Rules gelöscht und neu gemacht. Vorher habe ich noch den ausgehenden NAT-Modus auf "Hybrid" gestellt (vorher "manuell"). Dürfte aber eigentlich nichts damit zu tun haben, beim manuellen Modus hatte ich lediglich eine eigene ausgehende NAT-Rule angelegt und hierin als Ausnahme die VPN-Netze konfiguriert. War aber Käse, nur umständlich, da beim hybriden Modus die automatischen ausgehenden NAT-Rules nur greifen, wenn vorher keine manuell angelegte NAT-Rule gegriffen hat.

Vermutlich hatte ich zuvor aber irgendeinen Dreher in der Konfiguration, das Source-NAT greift nun laut Log. Aber es hat sich ein anderes Problem aufgetan, oder es ist nur ein (Routing-) Verständnisproblem.

Das Source-NAT matcht nur, wenn ich in der out NAT-Rule als Schnittstelle WAN angebe und nicht wie erwartet "IPsec". Also routet pfsense die Verbindung schon vor dem outgoing NAT in Richtung WAN statt in Richtung des aufgebauten IPsec Site-to-Site Tunnels. Auf der Gegenseite kommt dementsprechend natürlich auch nichts an.

Ich kenne ein solches Verhalten schon von der Sophos XG, hier musste ich eine explizite Route für das Zielnetz auf der cli in den Tunnel konfigurieren. Aus meiner Sicht unverständlich, war auch im Vorgänger Sophos SG nicht so, denn eigentlich sollte eine Firewall ja wissen wo sie ein Netz entlang routen soll, denn das Destinationnetz ist ja explizit in der Konfiguration der Phase 2 angegeben.

Oder wird in der Log nur fälschlicherweise das WLAN-Interface angezeigt, weil schließlich auch ein IPsec-Tunnel über das WLAN-Interface läuft? Ist aber auch quatsch, vom logischen her darf ich hier nur die udp-Ports 500/4500 sehen (welche ja auch in der Log erscheinen).

Kann es sein, dass es hier so ähnliches Verhalten wie bei der XG ist? Oder hat hier jemand eine andere Idee, warum das Routing zum Netz der Gegenseite (emtspr. Phase 2) nicht in den Tunnel geht?

PS: Eine typische Gatewayroute kann man hier natürlich nicht setzen, da es im Tunnel kein Gateway gibt, sondern nur ein Destinationnetz auf der anderen Tunnelseite.

VG Torsten