Pont multi-wan pfSense, NAT, équilibrage de charge et CARP

9

Le contexte

J'ai actuellement:

  • 1 routeur pfSense 2.0.2 (sur un Firebox X-Peak X5000)
  • 2 WAN
  • 1 LAN
  • 3 serveurs

Mes interfaces

  • WAN1 68.XX.XXX.98 à 69.XX.XXX.102
  • WAN2 65.XXX.XXX.58 à 66.XXX.XXX.62
  • LAN 192.168.1.XXX
  • DMZ

Mon routeur est configuré comme ceci:

  • Équilibrage de charge avec un groupe de passerelle basé sur cette documentation .
  • NAT
  • Règles pour les serveurs LAN
  • Pont entre WAN2 et DMZ (avec des IP externes sur un serveur DMZ) - mais ne peut pas communiquer entre ce serveur et d'autres serveurs sur le LAN en passant par une adresse IP externe. Avec une configuration d'itinéraire personnalisée, j'ai pu gérer les demandes du LAN au serveur sur DMZ, mais je n'aime pas le faire comme ça.

Mes serveurs utilisent des adresses IP locales 192.168.1.XXX, donc la même chose pour mes ordinateurs.

Attendant

Je voudrais faire deux choses:

1 Pontez les deux WAN avec une DMZ et un LAN derrière NAT

Je veux la possibilité d'attribuer des adresses IP externes aux serveurs et la possibilité de mélanger les IP au même serveur des deux WAN. Je voudrais également pouvoir communiquer avec des serveurs à partir de l'exemple LAN:

192.168.1.100 <--> http://68.XX.XXX.99

Egalement capable de communiquer d'un serveur à un autre exemple de serveur:

65.XXX.XXX.59 <--> http://68.XX.XXX.99
  • Dois-je dédier une adresse IP externe pour les ordinateurs sur LAN derrière NAT?
  • Pourrai-je continuer à faire fonctionner l'équilibrage de charge pour le NAT?

Remarque: je voudrais éviter le NAT un-à-un, avoir des adresses IP locales sur le serveur complique la configuration d'hébergement virtuel, donc je préfère avoir des adresses externes.

2 Redondance matérielle du routeur (CARP)

J'ai un Firebox X-Peak X5000 de plus identique, et je voudrais le mettre en tant que sauvegarde, si le premier échoue, le second pourrait prendre le relais sans (ou presque) perdre le réseau (c'est-à-dire que les requêtes de l'extérieur vers le serveur doivent fonctionner, également du LAN et des serveurs à Internet).

J'ai lu cette documentation , mais je n'ai aucune idée si cela pourrait fonctionner avec ma configuration (Bridge + NAT + Load balancing)

Alexandre Lavoie
la source

Réponses:

2

Cela pourrait être très bien résolu en utilisant un NAT un-à-un (ou statique). Vos interfaces seraient configurées de la même manière qu'elles le sont actuellement, la seule différence est que vous ne relieriez pas les interfaces WAN / DMZ.

La seule chose que cela n'accomplira pas est de vous permettre de parler de l'espace d'adressage LAN à votre espace d'adressage externe. Je suppose que le problème est peut-être qu'une demande DNS renvoie l'adresse externe? Si tel est le cas, vous pouvez modifier votre configuration BIND pour inclure deux vues différentes - une interne et une externe - pour fournir des retours différents en fonction de la source de la demande DNS.

Je crois que la seule autre solution - pour obtenir tout ce que vous demandez ici - est que les deux FAI vous attribuent un autre bloc d'adresses que vous utiliseriez sur votre interface DMZ.

Quant au bit de défaillance matérielle, cela devrait fonctionner correctement tant que vos interfaces sont connectées dans la même zone L2 que le premier pare-feu. On dirait que c'est actif / passif, donc ça devrait aller.

bigmstone
la source
Pour la méthode one-to-one, je voudrais l'éviter (devrait l'inclure dans ma question), je doute également que je puisse avoir 2 blocs IP par FAI. Une chose que je pense que je pourrais faire est de créer 4 WANS, 2 sur chaque FAI, un sur chaque FAI pour DMZ et un pour NAT, ça sonne bien?
Alexandre Lavoie
2

Pour le pont multi-wan + NAT + équilibrage de charge, il peut être configuré comme suit:

1 Créez une interface DMZ

  • Type de configuration IPv4: Aucun

2 Créez un pont

  • Interfaces
  • Attribuer
  • Des ponts
  • Ajouter
  • Sélectionnez WAN1, WAN2 et DMZ

3 règles de pare-feu

Débloquez les ports nécessaires et autorisez-les dans le WAN approprié:

  • La source : *
  • Port : *
  • Destination: adresse IP externe

Avec cette configuration, les serveurs de la DMZ peuvent désormais fonctionner avec des adresses IP publiques. Le seul inconvénient jusqu'à présent est que je ne peux pas accéder aux hôtes sur DMZ à partir du LAN.

Alexandre Lavoie
la source