У нас есть номер AS для класса C (/ 24) и 2 провайдера.
В настоящее время у меня в сети есть Fortigate и pfSense. Fortigate выполняет BGP, а pfSense выполняет NAT, DMZ, VPN, VLAN.
Мы используем 1 IP для маршрутизации всего внутреннего трафика, 1: 1 NAT для серверов DMZ,
Я хочу, чтобы все было в pfSense. Я не видел никаких руководств по настройке.
Проблема, похоже, в том, что отображение 1: 1 необходимо связать с одним интерфейсом.
Я видел, что в EdgeRouter от Ubiquity используется термин «черная дыра», когда вы не знаете, на каком интерфейсе будет маршрутизироваться трафик.
Кто-нибудь знает, возможно ли использовать NAT + BGP на той же машине pfSense?
Возможно, да. Хорошая идея, да, наверное, нет. OpenBGPD время от времени имеет проблемы со стабильностью, а также присущие ему сложности с фильтрацией с отслеживанием состояния и асимметричной маршрутизацией. pf также плохо работает в условиях DDoS-атак, что, вероятно, затрудняет работу в сети даже при небольшой атаке. Граница сети, на которой вы используете BGP, - это работа маршрутизатора.
Я бы использовал BGP на маршрутизаторах, а не на брандмауэрах, поместил брандмауэры внутри пары маршрутизаторов (по одному на каждого ISP, подключенного к сети, для высокой доступности).