Я пытаюсь придумать способ объединить два маршрутизатора в один. У меня следующая конфигурация сети:
LAN <-- a/24 --> NAT Firewall <-- x/29 --> Router <-- y/30 --> Internet
|
LAN2 <-- b/24 --> NAT Firewall <---
где a / 24 и b / 24 - мои внутренние подсети, x / 29 - небольшой блок публичных IP-адресов, которые нам были назначены, а y / 30 - интернет-соединение, предоставляемое интернет-провайдером.
Обычно маршрутизатор принадлежит интернет-провайдеру, но в этом случае мы будем владеть межсетевыми экранами NAT и маршрутизатором. Я бы не хотел настраивать три отдельных устройства pfSense и хотел бы объединить все это во что-то вроде этого:
LAN <-- a/24 --> Firewall/Router <-- y/30 --> Internet
|
LAN2 <-- b/24 <------
Мне все равно нужно было бы иметь возможность назначить адрес из блока x / 29 в качестве внешнего адреса NAT для каждой локальной сети и разрешить переадресацию портов на эти адреса на серверы в локальной сети (например, веб-сервер).
Можно ли объединить несколько переходов маршрута с помощью одного брандмауэра pfSense?
ОБНОВЛЕНИЕ: Чтобы уточнить, x / 29 маршрутизируется «через» блок y / 30 с точки зрения интернет-провайдера. Другими словами, GW для x / 29 является одним из адресов в блоке y / 30.
В вашей диаграмме используются x / 29 и y / 30, в то время как в тексте используются y / 29 и z / 30, а ваше обновление, в котором говорится, что x / 29 использует шлюз y / 30, еще больше сбивает с толку, поскольку вы не можете использовать шлюз в другой подсети. Возможно, поможет добавление IP-адресов и сетевых масок. Я предполагаю, что a / 24, b / 24, x / 29, y / 30 и что шлюз, о котором вы говорите, является маршрутизатором с интерфейсами x / 29 и y / 30.
Краткий ответ: да. Подсети a / 24 и b / 24 просто необходимо подключить к разным портам межсетевого экрана. Это можно сделать физически с помощью нескольких адаптеров или с помощью VLAN, если ваш коммутатор (-ы) это поддерживает. Внешнему интерфейсу брандмауэра может быть присвоен адрес y / 30 существующего маршрутизатора. Адреса существующих брандмауэров x / 29 можно настроить как виртуальные IP-адреса, или вы можете настроить тупиковый интерфейс VLAN для x / 29. Вам нужно будет настроить автоматически настроенные правила NAT и правила брандмауэра (например, LAN-> Any необходимо продублировать как LAN2-> Any).
У меня возникает более серьезный вопрос: для каких целей были разработаны маршрутизатор, x / 29 и межсетевые экраны как есть? Предположительно, NAT a / 24 и b / 24 можно было повесить непосредственно на маршрутизаторе y / 30, а b / 24 можно было повесить на межсетевом экране a / 24. Здесь упускается какое-то другое требование? С a / 24 и b / 24 за существующими NAT, они предназначены для того, чтобы оставаться изолированными (в этом случае вам нужно будет обновить новые правила брандмауэра, чтобы запретить LAN-> LAN2 и LAN2-> LAN) или они должны быть равными и маршрутизируемыми с друг друга? Имеется ли x / 29 для поддержки дополнительных (в будущем?) Устройств, таких как дополнительные изолированные брандмауэры «c / 24», резервирование за счет второго устройства, обслуживание и обновления за счет второго устройства и т. Д.
Если с маршрутизатором y / 30 не что-то не так, я бы не стал от него избавляться (т.е. он уже оплачен и, вероятно, не будет использоваться повторно). Сеть x / 29 обеспечивает дополнительную гибкость, которая будет потеряна, если вы свернете брандмауэры и маршрутизатор в одно устройство. Нужна ли вам такая гибкость - совсем другой вопрос.