pfSense Multi-wan Bridge, NAT, równoważenie obciążenia i CARP

9

Kontekst

Obecnie mam:

  • 1 router pfSense 2.0.2 (na Firebox X-Peak X5000)
  • 2 WAN
  • 1 sieć LAN
  • 3 serwery

Moje interfejsy

  • WAN1 68.XX.XXX.98 do 69.XX.XXX.102
  • WAN2 65.XXX.XXX.58 do 66.XXX.XXX.62
  • LAN 192.168.1.XXX
  • DMZ

Mój router jest skonfigurowany w następujący sposób:

  • Równoważenie obciążenia za pomocą grupy bramek na podstawie tej dokumentacji .
  • NAT
  • Reguły dla serwerów LAN
  • Mostek między WAN2 i DMZ (z zewnętrznymi adresami IP na jednym serwerze DMZ) - ale nie może komunikować się między tym serwerem a innymi serwerami w sieci LAN przechodzącymi przez zewnętrzny adres IP. Dzięki niestandardowej konfiguracji trasy byłem w stanie obsłużyć żądania z sieci LAN do serwera w DMZ, ale nie lubię tego robić w ten sposób.

Moje serwery używają lokalnych adresów IP 192.168.1.XXX, więc to samo dotyczy moich komputerów.

Przy nadziei

Chciałbym zrobić dwie rzeczy:

1 Połącz dwie sieci WAN z DMZ i LAN za NAT

Chcę mieć możliwość przypisywania zewnętrznych adresów IP do serwerów oraz możliwość mieszania adresów IP do tego samego serwera z obu sieci WAN. Chciałbym również móc komunikować się z serwerami z przykładu sieci LAN:

192.168.1.100 <--> http://68.XX.XXX.99

Możliwość komunikacji z serwera na inny serwer:

65.XXX.XXX.59 <--> http://68.XX.XXX.99
  • Czy będę musiał dedykować jeden zewnętrzny adres IP dla komputerów w sieci LAN za NAT?
  • Czy będę w stanie utrzymać funkcję równoważenia obciążenia dla NAT?

Uwaga: Chciałbym uniknąć translacji NAT typu jeden do jednego, ponieważ lokalne adresy IP na serwerze komplikują konfigurację wirtualnego hostingu, więc wolę mieć adresy zewnętrzne.

2 Redundancja sprzętowa routera (CARP)

Mam jeszcze jeden identyczny Firebox X-Peak X5000 i chciałbym umieścić go jako kopię zapasową, jeśli pierwszy zawiedzie, drugi może przejąć bez (lub prawie) utraty sieci (tzn. Żądania z zewnątrz do serwera muszą działać, także z sieci LAN i serwerów do Internetu).

Przeczytałem tę dokumentację , ale nie mam pojęcia, czy może ona działać z moją konfiguracją (Bridge + NAT + równoważenie obciążenia)

Alexandre Lavoie
źródło

Odpowiedzi:

2

Można to całkiem ładnie wyjaśnić, używając NAT (jeden na jeden) (lub statyczny). Twoje interfejsy byłyby skonfigurowane tak, jak są obecnie, jedyną różnicą jest to, że nie przełączysz interfejsów WAN / DMZ.

Jedyne, czego to nie osiągnie, to umożliwienie mówienia z przestrzeni adresowej LAN do zewnętrznej przestrzeni adresowej. Zakładam, że problem, być może żądanie DNS zwraca adres zewnętrzny? W takim przypadku można zmienić konfigurację BIND, tak aby zawierała dwa różne widoki - wewnętrzny i zewnętrzny - w celu zapewnienia różnych zwrotów w zależności od źródła żądania DNS.

Uważam, że jedynym innym rozwiązaniem - aby uzyskać wszystko, o co tutaj prosisz - jest przydzielenie przez obu dostawców usług internetowych kolejnego bloku adresów, który byłby używany w interfejsie DMZ.

Jeśli chodzi o bit awarii sprzętu, powinno to działać poprawnie, o ile interfejsy są podłączone w tym samym obszarze L2, co zapora ogniowa. Wygląda na to, że jest aktywny / pasywny, więc powinno być dobrze.

Bigmstone
źródło
W przypadku metody „jeden do jednego” chciałbym tego uniknąć (powinienem uwzględnić to w moim pytaniu), wątpię też, czy mogę mieć 2 bloki IP na dostawcę usług internetowych. Myślę, że jedną rzeczą, którą mógłbym zrobić, to stworzyć 4 WANS, 2 na każdym ISP, jeden na każdym ISP dla DMZ i jeden dla NAT, brzmi dobrze?
Alexandre Lavoie
2

W przypadku mostu Multi-wan + NAT + równoważenia obciążenia można go skonfigurować w następujący sposób:

1 Utwórz interfejs DMZ

  • Typ konfiguracji IPv4: Brak

2 Utwórz most

  • Interfejsy
  • Przydzielać
  • Mosty
  • Dodaj
  • Wybierz WAN1, WAN2 i DMZ

3 reguły zapory ogniowej

Odblokuj niezbędne porty i pozwól im na odpowiednią sieć WAN:

  • Źródło : *
  • Port : *
  • Miejsce docelowe: zewnętrzny adres IP

Przy tej konfiguracji serwery w strefie DMZ mogą teraz pracować z publicznymi adresami IP. Jedyną wadą jest to, że nie mam dostępu do hostów w DMZ z sieci LAN.

Alexandre Lavoie
źródło