Kontekst
Obecnie mam:
- 1 router pfSense 2.0.2 (na Firebox X-Peak X5000)
- 2 WAN
- 1 sieć LAN
- 3 serwery
Moje interfejsy
- WAN1 68.XX.XXX.98 do 69.XX.XXX.102
- WAN2 65.XXX.XXX.58 do 66.XXX.XXX.62
- LAN 192.168.1.XXX
- DMZ
Mój router jest skonfigurowany w następujący sposób:
- Równoważenie obciążenia za pomocą grupy bramek na podstawie tej dokumentacji .
- NAT
- Reguły dla serwerów LAN
- Mostek między WAN2 i DMZ (z zewnętrznymi adresami IP na jednym serwerze DMZ) - ale nie może komunikować się między tym serwerem a innymi serwerami w sieci LAN przechodzącymi przez zewnętrzny adres IP. Dzięki niestandardowej konfiguracji trasy byłem w stanie obsłużyć żądania z sieci LAN do serwera w DMZ, ale nie lubię tego robić w ten sposób.
Moje serwery używają lokalnych adresów IP 192.168.1.XXX
, więc to samo dotyczy moich komputerów.
Przy nadziei
Chciałbym zrobić dwie rzeczy:
1 Połącz dwie sieci WAN z DMZ i LAN za NAT
Chcę mieć możliwość przypisywania zewnętrznych adresów IP do serwerów oraz możliwość mieszania adresów IP do tego samego serwera z obu sieci WAN. Chciałbym również móc komunikować się z serwerami z przykładu sieci LAN:
192.168.1.100 <--> http://68.XX.XXX.99
Możliwość komunikacji z serwera na inny serwer:
65.XXX.XXX.59 <--> http://68.XX.XXX.99
- Czy będę musiał dedykować jeden zewnętrzny adres IP dla komputerów w sieci LAN za NAT?
- Czy będę w stanie utrzymać funkcję równoważenia obciążenia dla NAT?
Uwaga: Chciałbym uniknąć translacji NAT typu jeden do jednego, ponieważ lokalne adresy IP na serwerze komplikują konfigurację wirtualnego hostingu, więc wolę mieć adresy zewnętrzne.
2 Redundancja sprzętowa routera (CARP)
Mam jeszcze jeden identyczny Firebox X-Peak X5000 i chciałbym umieścić go jako kopię zapasową, jeśli pierwszy zawiedzie, drugi może przejąć bez (lub prawie) utraty sieci (tzn. Żądania z zewnątrz do serwera muszą działać, także z sieci LAN i serwerów do Internetu).
Przeczytałem tę dokumentację , ale nie mam pojęcia, czy może ona działać z moją konfiguracją (Bridge + NAT + równoważenie obciążenia)
W przypadku mostu Multi-wan + NAT + równoważenia obciążenia można go skonfigurować w następujący sposób:
1 Utwórz interfejs DMZ
2 Utwórz most
3 reguły zapory ogniowej
Odblokuj niezbędne porty i pozwól im na odpowiednią sieć WAN:
Przy tej konfiguracji serwery w strefie DMZ mogą teraz pracować z publicznymi adresami IP. Jedyną wadą jest to, że nie mam dostępu do hostów w DMZ z sieci LAN.
źródło