pfSense multi-wan Bridge, NAT, การทำโหลดบาลานซ์และ CARP

9

บริบท

ฉันมี:

  • 1 เราเตอร์ pfSense 2.0.2 (สำหรับ Firebox X-Peak X5000)
  • 2 WAN
  • 1 LAN
  • 3 เซิร์ฟเวอร์

อินเทอร์เฟซของฉัน

  • WAN1 68.XX.XXX.98 ถึง 69.XX.XXX.102
  • WAN2 65.XXX.XXX.58 ถึง 66.XXX.XXX.62
  • LAN 192.168.1.XXX
  • DMZ

เราเตอร์ของฉันมีการกำหนดค่าเช่นนี้:

  • โหลดบาลานซ์กับกลุ่ม Gateway ตามเอกสารนี้
  • NAT
  • กฎของเซิร์ฟเวอร์ LAN
  • สะพานเชื่อมระหว่าง WAN2 และ DMZ (กับ IP ภายนอกบนเซิร์ฟเวอร์ DMZ หนึ่งเครื่อง) - แต่ไม่สามารถสื่อสารระหว่างเซิร์ฟเวอร์นี้และเซิร์ฟเวอร์อื่น ๆ บน LAN ที่ผ่าน IP แอดเดรสภายนอก ด้วยการกำหนดค่าเส้นทางที่กำหนดเองฉันสามารถจัดการคำขอจาก LAN ไปยังเซิร์ฟเวอร์ใน DMZ ได้ แต่ฉันไม่ชอบทำแบบนี้

เซิร์ฟเวอร์ของฉันใช้ที่อยู่ IP ในพื้นที่192.168.1.XXXดังนั้นจึงเหมือนกันกับคอมพิวเตอร์ของฉัน

คาดหวังว่า

ฉันต้องการทำสองสิ่ง:

1 เชื่อมสอง WANs ด้วย DMZ และ LAN ที่อยู่ด้านหลัง NAT

ฉันต้องการความเป็นไปได้ของที่อยู่ IP ภายนอกกับเซิร์ฟเวอร์และความเป็นไปได้ในการผสม IP กับเซิร์ฟเวอร์เดียวกันจาก WAN ทั้งสอง ฉันต้องการที่จะสามารถสื่อสารกับเซิร์ฟเวอร์จากตัวอย่าง LAN:

192.168.1.100 <--> http://68.XX.XXX.99

ความสามารถในการสื่อสารจากเซิร์ฟเวอร์ไปยังอีกตัวอย่างเซิร์ฟเวอร์:

65.XXX.XXX.59 <--> http://68.XX.XXX.99
  • ฉันจะต้องอุทิศที่อยู่ IP ภายนอกหนึ่งเครื่องสำหรับคอมพิวเตอร์บน LAN ที่อยู่ด้านหลัง NAT หรือไม่
  • ฉันจะสามารถทำให้โหลดบาลานซ์ทำงานกับ NAT ได้หรือไม่

หมายเหตุ: ฉันต้องการหลีกเลี่ยง NAT แบบหนึ่งต่อหนึ่งการมีที่อยู่ IP ในเครื่องบนเซิร์ฟเวอร์ทำให้การกำหนดค่าโฮสต์เสมือนมีความซับซ้อนดังนั้นฉันจึงอยากมีที่อยู่ภายนอก

2 เราเตอร์ฮาร์ดแวร์สำรอง (CARP)

ฉันมี Firebox X-Peak X5000 อีกหนึ่งตัวที่เหมือนกันและต้องการที่จะสำรองไว้ถ้าอันแรกล้มเหลวตัวที่สองอาจเข้าข่ายโดยไม่ต้องสูญเสียเครือข่าย (หรือเกือบ) (เช่นคำขอจากภายนอกสู่เซิร์ฟเวอร์ต้องทำงานได้ จาก LAN และเซิร์ฟเวอร์ไปจนถึงอินเทอร์เน็ต)

ฉันได้อ่านเอกสารนี้แล้ว แต่ฉันไม่รู้ว่ามันสามารถทำงานกับการกำหนดค่าของฉันได้หรือไม่ (Bridge + NAT + load balancing)

nat  failover  pfsense  pfsense-2  bridge 
Alexandre Lavoie
แหล่งที่มา

คำตอบ:

2

สิ่งนี้สามารถล้างได้ค่อนข้างดีโดยใช้ NAT แบบหนึ่งต่อหนึ่ง (หรือแบบคงที่) อินเทอร์เฟซของคุณจะได้รับการตั้งค่าเหมือนกับที่เป็นอยู่ในปัจจุบันความแตกต่างเพียงอย่างเดียวคือคุณจะไม่เชื่อมต่ออินเตอร์เฟส WAN / DMZ

สิ่งเดียวที่จะทำให้สำเร็จคือให้คุณพูดจากพื้นที่ที่อยู่ LAN ไปยังพื้นที่ที่อยู่ภายนอกของคุณ ฉันถือว่าปัญหาอาจมีคำขอ DNS กำลังส่งคืนที่อยู่ภายนอกหรือไม่ หากเป็นเช่นนั้นคุณสามารถเปลี่ยนการกำหนดค่า BIND ของคุณเพื่อรวมสองมุมมองที่ต่างกัน - ภายในและภายนอก - เพื่อให้ผลตอบแทนที่แตกต่างกันตามแหล่งที่มาของคำขอ DNS

ฉันเชื่อว่าโซลูชันอื่น ๆ เพียงวิธีเดียวที่จะได้รับทุกสิ่งที่คุณต้องการที่นี่คือการให้ ISP ทั้งสองกำหนดบล็อกที่อยู่อื่นที่คุณจะใช้ในอินเทอร์เฟซ DMZ ของคุณ

สำหรับบิตความล้มเหลวของฮาร์ดแวร์นี้จะทำงานได้ดีตราบใดที่อินเตอร์เฟสของคุณเชื่อมต่อในพื้นที่ L2 เดียวกับไฟร์วอลล์กำปั้น ดูเหมือนว่ามันใช้งานอยู่ / ไม่โต้ตอบดังนั้นควรจะดี

bigmstone
แหล่งที่มา
สำหรับวิธีการหนึ่งต่อหนึ่งฉันต้องการหลีกเลี่ยง (ควรรวมไว้ในคำถามของฉัน) ฉันยังสงสัยว่าฉันสามารถมี IP บล็อก 2 อันต่อ ISP สิ่งหนึ่งที่ฉันคิดว่าฉันสามารถทำได้คือการสร้าง 4 WANS, 2 ในแต่ละ ISP หนึ่งรายการในแต่ละ ISP สำหรับ DMZ และอีกหนึ่งสำหรับ NAT ฟังดูดีไหม
Alexandre Lavoie
2

สำหรับ multi-wan bridge + NAT + load balancing สามารถตั้งค่าได้ดังนี้

1 สร้างอินเตอร์เฟส DMZ

  • ประเภทการกำหนดค่า IPv4: ไม่มี

2 สร้างสะพาน

  • อินเตอร์เฟซ
  • กำหนด
  • สะพาน
  • เพิ่ม
  • เลือก WAN1, WAN2 และ DMZ

3 กฎไฟร์วอลล์

ปลดบล็อกพอร์ตที่จำเป็นและอนุญาตให้อยู่ใน WAN ที่เหมาะสม:

  • ที่มา: *
  • ท่าเรือ : *
  • ปลายทาง: ที่อยู่ IP ภายนอก

ด้วยการกำหนดค่าเซิร์ฟเวอร์ใน DMZ สามารถทำงานกับที่อยู่ IP สาธารณะได้แล้ว ข้อเสียเปรียบเพียงอย่างเดียวคือฉันไม่สามารถเข้าถึงโฮสต์บน DMZ จาก LAN

Alexandre Lavoie
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.