pfSense multi-wan Bridge, NAT, Load balancing, dan CARP

9

Konteks

Saat ini saya memiliki:

  • 1 router pfSense 2.0.2 (pada Firebox X-Peak X5000)
  • 2 INGIN
  • 1 LAN
  • 3 Server

Antarmuka saya

  • WAN1 68.XX.XXX.98 hingga 69.XX.XXX.102
  • WAN2 65.XXX.XXX.58 hingga 66.XXX.XXX.62
  • LAN 192.168.1.XXX
  • DMZ

Router saya dikonfigurasi seperti ini:

  • Load balancing dengan grup Gateway berdasarkan dokumentasi ini .
  • NAT
  • Aturan untuk server LAN
  • Jembatan antara WAN2 dan DMZ (dengan IP eksternal pada satu server DMZ) - tetapi tidak dapat berkomunikasi antara server ini dan server lain pada LAN yang melewati alamat IP eksternal. Dengan konfigurasi rute khusus, saya dapat menangani permintaan dari LAN ke server di DMZ, tapi saya tidak suka melakukannya seperti ini.

Server saya menggunakan alamat IP lokal 192.168.1.XXX, jadi sama untuk komputer saya.

Mengharapkan

Saya ingin melakukan dua hal:

1 Jembatan kedua WAN dengan DMZ dan LAN di belakang NAT

Saya ingin kemungkinan untuk menghubungkan alamat IP eksternal ke server, dan kemungkinan untuk menggabungkan IP ke server yang sama dari kedua WAN. Saya juga ingin dapat berkomunikasi dengan server dari contoh LAN:

192.168.1.100 <--> http://68.XX.XXX.99

Juga dapat berkomunikasi dari server ke server lain contoh:

65.XXX.XXX.59 <--> http://68.XX.XXX.99
  • Apakah saya perlu mendedikasikan satu alamat IP eksternal untuk komputer di LAN di belakang NAT?
  • Apakah saya dapat menjaga agar beban-balacing bekerja untuk NAT?

Catatan: Saya ingin menghindari NAT satu-ke-satu, memiliki alamat IP lokal di server mempersulit konfigurasi hosting virtual, jadi saya lebih suka memiliki alamat eksternal.

2 perutean perangkat keras router (CARP)

Saya memiliki satu lagi Firebox X-Peak X5000 yang identik, dan ingin menjadikannya sebagai cadangan, jika yang pertama gagal, yang kedua dapat mengambil alih tanpa (atau hampir) kehilangan jaringan (yaitu, permintaan dari luar ke server harus berfungsi, juga dari LAN dan server ke Internet).

Saya sudah membaca dokumentasi ini , tetapi saya tidak tahu apakah itu bisa bekerja dengan konfigurasi saya (Bridge + NAT + Load balancing)

Alexandre Lavoie
sumber

Jawaban:

2

Ini dapat diselesaikan dengan cukup baik dengan menggunakan NAT satu-ke-satu (atau statis). Antarmuka Anda akan diatur sama seperti saat ini, hanya bedanya Anda tidak akan menjembatani antarmuka WAN / DMZ.

Satu-satunya hal yang tidak akan tercapai adalah memungkinkan Anda untuk berbicara dari ruang alamat LAN ke ruang alamat eksternal Anda. Saya berasumsi masalah mungkin ada permintaan DNS mengembalikan alamat eksternal? Jika demikian, Anda dapat mengubah konfigurasi BIND untuk menyertakan dua tampilan berbeda - internal dan eksternal - untuk memberikan pengembalian berbeda berdasarkan sumber permintaan DNS.

Saya percaya satu-satunya solusi lain - untuk mendapatkan semua yang Anda minta di sini - adalah memiliki kedua ISP yang memberi Anda blok alamat lain yang akan Anda gunakan pada antarmuka DMZ Anda.

Adapun bit kegagalan perangkat keras, ini akan berfungsi dengan baik selama antarmuka Anda terhubung di area L2 yang sama dengan firewall pertama. Kedengarannya seperti aktif / pasif jadi ini harus baik-baik saja.

batu besar
sumber
Untuk metode satu-ke-satu, saya ingin menghindarinya (harus memasukkannya dalam pertanyaan saya), saya juga ragu bahwa saya dapat memiliki 2 blok IP per ISP. Satu hal yang saya pikir bisa saya lakukan adalah membuat 4 WANS, 2 pada setiap ISP satu pada setiap ISP untuk DMZ dan satu untuk NAT, kedengarannya bagus?
Alexandre Lavoie
2

Untuk jembatan multi-wan + NAT + load balancing, dapat diatur sebagai berikut:

1 Buat antarmuka DMZ

  • Jenis Konfigurasi IPv4: Tidak Ada

2 Buat jembatan

  • Antarmuka
  • Menetapkan
  • Jembatan
  • Menambahkan
  • Pilih WAN1, WAN2 dan DMZ

3 Aturan firewall

Buka blokir port yang diperlukan dan izinkan di WAN yang sesuai:

  • Sumber: *
  • Pelabuhan : *
  • Tujuan: Alamat IP eksternal

Dengan konfigurasi itu, server pada DMZ sekarang dapat bekerja dengan alamat IP publik. Satu-satunya kelemahan sejauh ini adalah bahwa saya tidak dapat mengakses host di DMZ dari LAN.

Alexandre Lavoie
sumber