[Résolu] Problème Multi-Wan

titofe

Bonjour,

Je rencontre des soucis avec le Multi-Wan.

Mon installation:

2 PfSense en mode CARP
1 Wan ADSL derrière un routeur (Wan par defaut)
1 Wan SDSL derriere le modem du FAI

Le problème est survenu à l'installation du 2e Wan (SDSL) et ne concerne que celui là; ce que je veux dire, c'est que je ne rencontre aucun problème sur le Wan ADSL même après l'ajout de Wan SDSL

Le lien Wan SDSL est la pour relier les sites entre eux, actuellement j'utilise le lien Wan ADSL pour relier les sites et comme le lien est derrière un routeur j'utilise OpenVPN.

Quand le lien SDSL à étais livré j'ai voulu basculer le VPN (OpenVPN) sur Wan SDSL et je me suis aperçu très rapidement que lien ne tenais pas et qu'il n'arrêtai pas de tomber.

Je me suis aperçu par la suite que si je naviguer par Wan SDSL sur internet je rencontrais des difficulté à affiché les page de certain site comme PfSense, Ixus , etc.

Je n'ai aucune idée de ce qui fait cela, je ne vois pas ou chercher les infos sur Pfsense pour résoudre ce souci, c'est la 1er fois que je fait une telle installation est penser ne pas rencontrer de difficulté particulier …, je me suis trompé.

Pour le Multi-Wan j'ai suivi le tuto donner sur le forum à la seul différence dans 'Nat Outbound' j'ai rajouté l'IP virtuel de chaque interface Wan dans 'NAT Address'.

titofe

Me revoilà avec quelque info supplémentaire.

Le problème existe sur tout les sites qui on un lien SDSL (SFR), mais le problème ne ce pose pas de la même maniéré.

Sur le site secondaire qui est en cours dévolution,
il n'ont comme WAN que le lien SDSL,
Pfsense est serveur DHCP et DNS,
j'ai installer Squid et SquidGuard comme proxy sur PfSense (a savoir que sur ce site il y a moins d'une dizaine d'utilisateur et que cette solution n'est que provisoire car comme je l'ai déjà dit sur ce forum par la suite il naviguerons sur le web en passant par le site principal qui lui héberge un serveur proxy ClearOS).

Je me suis aperçu que ce site rencontrer les mêmes problème, à savoir une très grande lenteur pour naviguer sur internet, une bonne dizaine de minutes pour ouvrir une page comme le forum de PfSense.
Par contre si je ne passe pas par le proxy je ne rencontre plus le problème, ce qui me fait penser à un problème de DNS, mais je ne vois pas comment le résoudre.

Pour le site principale il y a deux WANs, le 1er WAN est un lien ADSL(Orange) et le 2e WAN est un lien SDSL (SFR).
Comme vous avez pu le lire sur mon 1er poste je pensez que mon souci venais d'un mauvais paramètre du 2e WAN, mais après avoir fait des test en inversant les liens sur les WANs je me suis aperçu que le lien SDSL étais toujours très lent et que le lien ADSL ne rencontrer aucun souci.

Pour effectué mes test, je renseigne dans les Rules quelle Gateway doit être utilisez pour le PC effectuant les tests.
Les test ce font en ne passant pas par le proxy.
Le serveur DHCP et DNS est dans la même zone c'est un serveur SME qui utilise ces propre DNS.

Par contre un PC directement brancher au lien SDSL fonctionne correctement.

Comme je l'ai dit je penche sur un problème de DNS, mais je n'arrive pas à le cerner.

Pouvez-vous m'indiquez des test à effectué afin de confirmer ou non ce problème de DNS?

Cdt,

Titofe

christr

Bonjour,

Voici deux sites que je me sert régulièrement

http://www.webtask.org
http://cablebox-news.com/test-de-debit-montant-et-descendant/

Je t invite à vérifier le débit Descendant sur ta ligne SDSL ainsi qu'a vérifier le débit Montant de ton liens ADSL

titofe

Merci christr,

Test déjà effectué et tout fonctionne correctement niveau débit, au si bien un PC directement relier au modem que derrière PfSense.

Suite à quelque test que j'ai pu effectué sur le site principal aujourd'hui je me pose des questions ?!

• Test de Ping à partir de l'interface de PfSense en utilisant interface WAN_SDSL je me suis aperçu que je ne pouvais Pingué que l'IP de l'interface et sa passerelle, même pas l'IP virtuel !!!
  Par contre à partir d'un PC derrière Pfsense qui utilise comme Gateway WAN_SDSL je ne rencontre pas ce problème ?!
• Pendant mes tests je suis venu sur le forum de PfSense en utilisant WAN_SDSL et je n'ai rencontrais aucun souci de lenteur, j'ai tenter d'aller sur la page d'accueil d'IXUS mais il a fallu attendre une bonne dizaine de minutes pour quelle s'affiche, par contre si je vais directement sur le forum aucun problème de lenteur.

?!?

titofe

Bon je pense que j'avance.

Tout abord je me suis tromper ce n'est pas un problème de DNS.

J'ai effectué un test en indiquant dans 'Firewall / NAT / Outbound' de PfSense les paramètres suivant :
Interface : WAN_SDSL
Source : 192.168.1.0/24 (Lan ou ce trouve le PC de test)
Source Port : *
Destination : *
Destination Port : *
NAT Address : * (habituellement je mais ici l'adresse virtuel de WAN_SDSL)
NAT Port : *
Static Port : *

Mon test s'effectue sur le site de IXUS :
Allez sur la page d'Accueil : une bonne de dizaine de minutes pour quelle s'affiche
Allez sur le forum : aucune lenteur visuel mais le chargement du navigateur prend tout de même du temps
Allez dans les sous forum : aucune lenteur visuel mais le chargement du navigateur prend tout de même du temps

Maintenant même test mais dans 'NAT adresse' je mais celle Virtuel de WAN_SDSL au lieu de celle de son interface:
Allez sur la page d'Accueil : une bonne de dizaine de minutes pour quelle s'affiche
Allez sur le forum : aucune lenteur visuel mais le chargement du navigateur prend tout de même du temps
Allez dans les sous forum : une bonne de dizaine de minutes pour quelle s'affiche

J'ai effectué ces test une bonne dizaine de fois, une fois l'un une fois l'autre et un si de suite et le résulta ne changer pas.

Donc pour le moment je pense que le problème viens de CARP, mais je ne vois pas ou ?
Les paramètres de WAN (WAN_ADSL) sont strictement les mêmes de WAN_SDSL et lui ne rencontre aucun souci même quand j'ai invertie les interfaces.

christr

Bonjour

Tu pourrais faire un petit tableau qui récapitule ton adressage dans ton parc coté site SDSL et site ADSL

titofe

WAN (lien ADSL) Modem/Routeur pour partager l'IP public au 2 Pfsense par des IPs Privées
WAN_SDSL (Lien SDSL) Modem du FAI SFR avec 3 IPs Public, une pour Firewall-1, une pour Firewall-2 et la dernière pour l'IP Virtuel.

Inteface WAN (ADSL):

Inteface WAN_SDSL (SDSL):

Inteface LAN:

Virtual IPs:

Firewall: NAT: Outbound:

Je rappel quand utilisant un PC brancher directement sur le modem SDSL du FAI (SFR) en IP fixe (une des trois IPs Public et j'ai tester les trois) ne rencontre aucun problème.

titofe

Malheureusement pour moi je n'avance pas sur ce problème et comme c'est partie je vais perdre beaucoup de temps à trouver le problème …

Donc demain à la 1er heure je re-installer entièrement le 1er Firewall et ferais de même avec le 2e une fois que j'aurai fini avec le 1er.

titofe

Après une re-installation complète du firwall-1 sans le mode CARP le problème persiste, ce que je ne comprend pas, pourquoi avec un PC derrière le modem ça marche et par contre pfSense derrière le modem ne fonctionne pas !?!

titofe

J'avais certainement oubliez de parler d'un détaille qui avait toute son importance, j'ai trouver d'où viens le problème …, des vlans.

WAN_ADSL et WAN_SDSL passe tout les deux par la même interface réseau, mais sur des vlans différents.

Je n'ai pas encore compris ce qui créer ce problème, mais je sais que mes vlans fonctionne correctement car j'ai intervertie encore aujourd'hui mes WAN (ADSL et SDSL) et comme vous le savais l'ADSL fonctionne correctement, peux importe quelle soit sur le vlan WAN_ADSL ou le vlan WAN_SDSL.

Si ce problème parle à quelqu'un!

Cdt,

titofe

J'ai effectué plusieurs recherche sur le forum, mais je n'ai rien trouver de concluant.

Je me pose tout de même une question, pourquoi le même vlan ne marche pas bien avec le lien SDSL mais fonctionne sans problème avec le lien ADSL?
La seul chose que je fait quand je les intervertis, c'est de changer les IPs et passerelles de chacun, à aucun moments je ne touche au paramètre du vlan ou autre !!!

Mes 2 vlans sont monter sur une interface physique qui est dédier que pour eux.

La seul solution que j'envisage pour le moments, est de supprimer ces vlans et de rajouter une carte réseau supplémentaire sur chaque firewall.

Mais si quelqu'un à une explication logique je suis à l'écoute.

Cdt,

titofe

J'ai enfin mis le doigt sur ce qui créer ce problème; le Switch.

Je ne pense pas une seconde qu'il soit défectueux, par contre, je pense que les paramètres par défaut ne fonctionne pas; ou avec le lien SDSL de mon FAI, ou avec l'IP public qu'il le travers !?!

J'ai fait une nouvelle installation de pfSense sur un serveur ou je n'ai installer que deux interface, 1 interface physique WAN et 1 interface physique LAN.

Le LAN est brancher directement à un switch pour le PC qui ma servie à faire les test, voici les résultats:

Test 1:

WAN directement brancher au modem du FAI.
WEB –- Modem FAI --- pfSense --- Switch --- PC

Test 2:

WAN passe par un switch non administrable pour accédé au modem du FAI.
WEB –- Modem FAI --- Switch --- pfSense --- Switch --- PC

Test 3:

WAN passe par un switch administrable pour accédé au modem du FAI.
WEB –- Modem FAI --- Switch(D-Link) --- pfSense --- Switch --- PC

Le Switch qui à étais utiliser au 3e test est de marque D-Link modèle DES-3052 avec tout les paramètres réglé par-défaut, le même que j'utilise pour les deux Firewall sur le site principale, là ou je rencontre mon problème.

J'ai tout de même fait un 4e test avec des Vlans au lieu de passer directement par les interfaces,

• 1 interface physique pour le Vlan1 de WAN
• 1 interface physique pour le Vlan2 du LAN.

voici le résultat:

Test 4:

WAN et LAN passe par le meme switch administrable, ils sont cloisonner par les Vlans.
WEB –- Modem FAI --- Switch(D-Link) --- pfSense --- Switch(D-Link) --- PC

Quelqu'un aurai une idée de ce qui pourrais faire cela?

titofe

J'ai aujourd'hui installer une carte supplémentaire sur les deux firewall et cela à régler mon souci.

Je peux aujourd'hui aussi bien naviguer sur le lien ADSL que celui de la SDSL sans rencontrer le moindre problème.

Ayant compris que je ne maîtrisé pas comme il ce doit le passage du lien SDSL dans le switch, j'ai donc préféré l'enlever.

Cdt,

Titofe