Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Server WEB in DMZ su MultiWAN con failover linee

    Scheduled Pinned Locked Moved Italiano
    7 Posts 2 Posters 4.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      agent
      last edited by

      Un saluto a tutti quanti.

      Ho provato a leggere ovunque, ho seguito anche la documentazione di m0n0wall (tornando al padre di pfSense) ma decisamente mi manca qualcosa. Quindi chiedo aiuto a voi.

      Allora, iniziamo. Ho un firewall con 4 interfacce:
      LAN      192.168.0.0/24
      WAN1  192.168.1.0/24 (in realtà è in DHCP, è una linea nuova che sto testando) con IP pubblico dinamico
      WAN2  192.168.2.136/29 (è la linea su cui ho gli 8 IP pubblici statici, questo indirizzo di rete è solo per semplificare)
      DMZ    192.168.3.136/29

      Dalla WAN2 tolti indirizzi di rete, broadcast e indirizzo del router, ovviamente ho 5 indirizzi pubblici liberi, sufficienti per i server in DMZ e altri servizi.
      Quello che voglio ottenere e che attualmente già funziona è far accedere i client ad internet attraverso la WAN1 finché è disponibile e passare su WAN2 solo in caso di caduta. I server invece devono essere pubblicati sulla WAN2 con i rispettivi indirizzi. Attualmente con la DMZ disabilitata il failover funziona correttamente.
      Mettendo però un server WEB in DMZ non riesco praticamente a fargli fare nulla, ne accedere ad internet, ne tantomeno rispondere a richieste da client.
      Ora ho cancellato tutte le prove fatte per ripartire da una situazione pulita.
      Riporto qui i passaggi (sicuramente da correggere o integrare):

      • Aggiunto un Virtual IP su WAN2
      • Nattato 1:1 questo IP con l'IP reale in DMZ del server
      • Aggiunte le regole per permettere al server in DMZ di effettuare query a server DNS in internet
      • Aggiunte le regole per (ad esempio) permettere al server in DMZ di aprire pagine in internet tramite browser su porta 80.

      Primo problema: non risolve i nomi, anche se la relativa regola viene applicata.
      Ho anche provato ad far passare le richieste ICMP ma idem come per il DNS.
      La quasi certezza è che il server riesca ad uscire ma non riceva le risposte. Il NAT 1:1 è bidirezionale, quindi proprio non capisco.

      Ringrazio già da ora chiunque abbia un'idea per iniziare…

      1 Reply Last reply Reply Quote 0
      • M
        mascaos
        last edited by

        Non è conf. semplicissima … e per capire dove stà il prob. avrei bisogno delle schermate di come sono conf. le interfacce, delle regole del firewalll per ogni interf., di tutte le parti di NAT sia di pfw che 1:1 che outband dei vip ev. alias se li usi. Nascondi gli ip o mettici degli ip falsi ... poi appena ho tutto d'ho un occhio. A già anche i pool di load e failover.

        Ciaoz.-

        PS: cercami in msn (info@mascomputer.net) magari parlando in tempo reale ci si capisce meglio :D :P

        1 Reply Last reply Reply Quote 0
        • A
          agent
          last edited by

          Intanto ti ringrazio.
          Sono un po' incasinato e per questo ritardo nelle risposte. Tra l'altro ho due demo nei prossimi 2 giorni e non posso spostare il server. Ti allego intanto gli screenshot delle configurazioni rimaste dopo la pulizia!!!

          Ti ho aggiunto su msn, ti contatterò al più presto.

          Grazie

          Alessandro

          ![Load Balancer.JPG](/public/imported_attachments/1/Load Balancer.JPG)
          ![Load Balancer.JPG_thumb](/public/imported_attachments/1/Load Balancer.JPG_thumb)

          1 Reply Last reply Reply Quote 0
          • A
            agent
            last edited by

            WAN2

            OPT1.JPG
            OPT1.JPG_thumb

            1 Reply Last reply Reply Quote 0
            • A
              agent
              last edited by

              DMZ

              OPT2.JPG
              OPT2.JPG_thumb

              1 Reply Last reply Reply Quote 0
              • A
                agent
                last edited by

                Regole firewall

                Rules.JPG
                Rules.JPG_thumb

                1 Reply Last reply Reply Quote 0
                • M
                  mascaos
                  last edited by

                  Decisamente è meglio che mi chiami su MSN … c'è troppo roba. E già da queste schermate ci sono delle cose che non mi tornano.

                  Ciaoz.-

                  Matteo

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.