Bridge multi-wan pfSense, NAT, balanceamento de carga e CARP

9

Contexto

Eu tenho atualmente:

  • 1 roteador pfSense 2.0.2 (em um Firebox X-Peak X5000)
  • 2 WAN
  • 1 LAN
  • 3 Servidores

Minhas interfaces

  • WAN1 68.XX.XXX.98 a 69.XX.XXX.102
  • WAN2 65.XXX.XXX.58 a 66.XXX.XXX.62
  • LAN 192.168.1.XXX
  • DMZ

Meu roteador está configurado assim:

  • Balanceamento de carga com um grupo Gateway baseado nesta documentação .
  • NAT
  • Regras para servidores LAN
  • Ponte entre WAN2 e DMZ (com IPs externos em um servidor DMZ) - mas não pode se comunicar entre este servidor e outros servidores na LAN que passam pelo endereço IP externo. Com uma configuração de rota personalizada, sou capaz de lidar com solicitações da LAN para o servidor na DMZ, mas não gosto disso.

Meus servidores estão usando endereços IP locais 192.168.1.XXX, o mesmo para meus computadores.

Esperando

Eu gostaria de fazer duas coisas:

1 Faça a ponte entre as duas WANs com uma DMZ e LAN atrás do NAT

Quero a possibilidade de atribuir endereços IP externos a servidores e a possibilidade de misturar IPs no mesmo servidor de ambas as WANs. Eu também gostaria de poder me comunicar com servidores do exemplo da LAN:

192.168.1.100 <--> http://68.XX.XXX.99

Também podendo se comunicar do servidor para outro exemplo de servidor:

65.XXX.XXX.59 <--> http://68.XX.XXX.99
  • Vou precisar dedicar um endereço IP externo para computadores na LAN atrás do NAT?
  • Serei capaz de manter o balanceamento de carga funcionando para o NAT?

Nota: Gostaria de evitar o NAT individual, pois os endereços IP locais no servidor complicam a configuração da hospedagem virtual, por isso prefiro ter endereços externos.

2 Redondância de hardware do roteador (CARP)

Eu tenho mais um Firebox X-Peak X5000 idêntico e gostaria de colocá-lo como backup, se o primeiro falhar, o segundo poderá assumir o controle sem (ou quase) perder a rede (ou seja, solicitações de fora para o servidor devem funcionar, também da LAN e dos servidores para a Internet).

Eu li esta documentação , mas não tenho ideia se poderia funcionar com minha configuração (Bridge + NAT + Balanceamento de carga)

Alexandre Lavoie
fonte

Respostas:

2

Isso pode ser esclarecido muito bem usando um NAT um-para-um (ou estático). Suas interfaces seriam configuradas da mesma forma que são atualmente; a única diferença é que você não faria a ponte entre as interfaces WAN / DMZ.

A única coisa que isso não conseguirá é permitir que você fale do espaço de endereço da LAN para o seu espaço de endereço externo. Suponho que o problema seja que talvez uma solicitação de DNS esteja retornando o endereço externo? Se for esse o caso, você poderá alterar sua configuração do BIND para incluir duas visualizações diferentes - uma interna e uma externa - para fornecer retornos diferentes com base na origem da solicitação de DNS.

Acredito que a única outra solução - para obter tudo o que você está pedindo aqui - é fazer com que os dois ISPs designem outro bloco de endereços que você usaria na sua interface DMZ.

Quanto ao bit de falha de hardware, isso deve funcionar bem, desde que suas interfaces estejam conectadas na mesma área L2 que o primeiro firewall. Parece ativo / passivo, então tudo bem.

bigmstone
fonte
Para o método individual, eu gostaria de evitá-lo (deve incluí-lo na minha pergunta), também duvido que possa ter 2 blocos de IP por ISP. Uma coisa que acho que posso fazer é criar 4 WANS, 2 em cada ISP, um em cada ISP para DMZ e um para NAT, parece bom?
Alexandre Lavoie
2

Para a ponte multi-wan + NAT + balanceamento de carga, ela pode ser configurada da seguinte maneira:

1 Crie uma interface DMZ

  • Tipo de configuração IPv4: nenhum

2 Crie uma ponte

  • Interfaces
  • Atribuir
  • Pontes
  • Adicionar
  • Selecione WAN1, WAN2 e DMZ

3 regras de firewall

Desbloqueie as portas necessárias e permita-as na WAN apropriada:

  • Fonte : *
  • Porto: *
  • Destino: endereço IP externo

Com essa configuração, os servidores na DMZ agora podem trabalhar com endereços IP públicos. A única desvantagem até agora é que não consigo acessar hosts na DMZ da LAN.

Alexandre Lavoie
fonte