Le contexte
J'ai actuellement:
- 1 routeur pfSense 2.0.2 (sur un Firebox X-Peak X5000)
- 2 WAN
- 1 LAN
- 3 serveurs
Mes interfaces
- WAN1 68.XX.XXX.98 à 69.XX.XXX.102
- WAN2 65.XXX.XXX.58 à 66.XXX.XXX.62
- LAN 192.168.1.XXX
- DMZ
Mon routeur est configuré comme ceci:
- Équilibrage de charge avec un groupe de passerelle basé sur cette documentation .
- NAT
- Règles pour les serveurs LAN
- Pont entre WAN2 et DMZ (avec des IP externes sur un serveur DMZ) - mais ne peut pas communiquer entre ce serveur et d'autres serveurs sur le LAN en passant par une adresse IP externe. Avec une configuration d'itinéraire personnalisée, j'ai pu gérer les demandes du LAN au serveur sur DMZ, mais je n'aime pas le faire comme ça.
Mes serveurs utilisent des adresses IP locales 192.168.1.XXX
, donc la même chose pour mes ordinateurs.
Attendant
Je voudrais faire deux choses:
1 Pontez les deux WAN avec une DMZ et un LAN derrière NAT
Je veux la possibilité d'attribuer des adresses IP externes aux serveurs et la possibilité de mélanger les IP au même serveur des deux WAN. Je voudrais également pouvoir communiquer avec des serveurs à partir de l'exemple LAN:
192.168.1.100 <--> http://68.XX.XXX.99
Egalement capable de communiquer d'un serveur à un autre exemple de serveur:
65.XXX.XXX.59 <--> http://68.XX.XXX.99
- Dois-je dédier une adresse IP externe pour les ordinateurs sur LAN derrière NAT?
- Pourrai-je continuer à faire fonctionner l'équilibrage de charge pour le NAT?
Remarque: je voudrais éviter le NAT un-à-un, avoir des adresses IP locales sur le serveur complique la configuration d'hébergement virtuel, donc je préfère avoir des adresses externes.
2 Redondance matérielle du routeur (CARP)
J'ai un Firebox X-Peak X5000 de plus identique, et je voudrais le mettre en tant que sauvegarde, si le premier échoue, le second pourrait prendre le relais sans (ou presque) perdre le réseau (c'est-à-dire que les requêtes de l'extérieur vers le serveur doivent fonctionner, également du LAN et des serveurs à Internet).
J'ai lu cette documentation , mais je n'ai aucune idée si cela pourrait fonctionner avec ma configuration (Bridge + NAT + Load balancing)
Pour le pont multi-wan + NAT + équilibrage de charge, il peut être configuré comme suit:
1 Créez une interface DMZ
2 Créez un pont
3 règles de pare-feu
Débloquez les ports nécessaires et autorisez-les dans le WAN approprié:
Avec cette configuration, les serveurs de la DMZ peuvent désormais fonctionner avec des adresses IP publiques. Le seul inconvénient jusqu'à présent est que je ne peux pas accéder aux hôtes sur DMZ à partir du LAN.
la source