Problème de routage MultiWAN
-
Contexte : pro
Besoin : Assurer un load balancing & failover.
pour se faire, j'ai placé le serveur pfsense derrière les deux firewall physiques. la carte LAN est sur le vlan serveurs, les deux cartes WAN sont installés sur le vlan des firewalls physiques. j'ai installé ensuite PFSsense, configuré les cartes réseaux et définir les routes et des rules en suivant les tutos. jusqu'au la, tout va bien, j'arrive à accéder a internet à partir de tous les VLAN. maintenant, après la configuration de Load Balancing, en activant le firewall (No Nat). si je fait un test de débit ou lancer un téléchargement ou page web, j'obtient un débit qui est la somme de deux lignes jusque pour quelques secondes puis l'accès se bloque complètement. en vérifiant le log, je trouve : the rule that triggered this action is @5 block drop in log inet all label "default deny rule IPv4Schéma :
WAN1 (Firewall ASA -> routeur bridge -> IP Publique 1
WAN1 (Firewall ASA -> routeur bridge -> IP Publique 2
LAN : 1 LAN / 8 VLANDMZ : aucune pour le moment
WIFI : bornes wifi DLINK connecter sur le switch L3
Règles NAT : existante sur les deux firewalls
Règles Firewall : plusieurs existantes sur les deux firewalls
Packages ajoutés : aucun package pour le moment d'installer
Autres fonctions assignées au pfSense : a venir plus tard Portail captif sur interface lan et vpn
Question : Problème précis rencontré et questions posées :
L'accès local vers internet se bloque en activant le firewall et en gardant le NAT désactivéLogs et tests : complément de "Recherches"
the rule that triggered this action is @5 block drop in log inet all label "default deny rule IPv4
Note: Je dois activer le firewall pour le load balancing mais pas le NAT vu que je dois avoir les adresses sources sur les deux firewalls.
cdt
-
Salut salut
Premièrement,merci pour l'usage du modèle.
Deuxièmement, il manque de la recherche rien que sur le site web et sur dans la section vous avez ces information du comment faire de LB/FO.
Mes questions sont ;
- avez vous bien regarder ?
- avez vous bien monté vos vlan ?
- pf avec ou sans vlan ? et ou ?
Cordialement.
-
je vous en pries,
- pour la première question, je n'ai pas bien compris votre demande
- pour la deuxième question: le routages entre les vlans se fait à travers mes switches HP Procurve L3. au niveau de PFsense, j'ai bien créer une route statiques qu'il faut passer par le gateway de lan pour destination de mes vlans.
- pour la troisième question: je n'ai pas crée de VLAN au niveau de pfsense
Note: j'ai même testé l'accès à internet à partir d'un pc qui se trouve sur le même réseau que LAN mais j'ai eu le même problème
-
Comme Tatave, bravo pour l'utilisation du formulaire de présentation !
Je suppose que le trait entre les switchs L2 et L3 est une erreur : il ne faut pas court-circuiter LAN et WAN de pfSense !
Il y a 2 questions importantes :
- pour faire le Load Balancing/FailOver, il FAUT suivre la documentation pfSense,
- il est très probable que le NAT est nécessaire absolument (pfSense est prévu pour avoir 2 connexions Internet directes).
Les firewall ASA existants ne doivent pas apprécier de voir une seule adresse ip pour l'ensemble du trafic.
-
Non, ce n'est pas une erreur, le LAN et le WAN sont sur deux VLAN différents.
Concernant le Load Balancing/Failover, j'ai bien suivi la documentation et j'ai réussie à les mettre en place. ce que je comprends pas c'est pourquoi il me laisse télécharger par exemple 1 minute au grand max puis il s'arréte ? :-\
sinon, d'après votre réponse, je comprends bien que vu que pfsense utilise 2 connexion WAN, donc il faut que le NAT soit activé ??
Pour le firewall ASA, oui c'est ça. au faite c'est pour cela que je veux désactivé le nattage et ce afin que le firewall recoit tout lest adresses ip sources
Merci de m'aider :'(
-
Personne ne peut m'aider ?? :'( :'(
-
Imprime écran juste au lancement d'un téléchargement
Imprime écran après 10 secondes du lancement (blocage)
-
Bonsoir,
Il y a un problème de base.
Il n'est pas possible de cumuler deux liens internet de deux operateurs pour "doubler le debit" D'un flux HTTP. C'est un loadbalancer, il partage la charge….une connexion a gauche, une a droite etc.C'est un peu comme les gens qui pensent qu'un trunk 802.3ad (lacp) permet d'augmenter le debit d'une connexion....he bien non il ne s'agit que de partage de charge.
Sinon, par rapport au blocage côté LAN. Il s'agit du moteur stateful qui coupe la connexion car il doit y avoir un routage asymetrique....
-
Bonjour Juve:
Merci pour cet éclaircissement. sinon par rapport au blocage coté LAN, y'a pas un moyen pour contourner ce problème ? concernant le routage, j'ai autorisé tout le traffic dans les deux sense.
Pour Info: durant mes recherches, j'ai testé la solution zeroshell qui fournie les mêmes services (Load-balancing et failover) est c'est achevé avec succès. je n'ai été pas obligé de démarrer le NAT. par contre, je suis fan de pfsense et j'aimerai bien travailler avec cet outil que je trouve exceptionnel dans son genre. :-X
-
Pour que je puisse aider, il me faudrait le meme schema mais avec les IP de chaque patte.
C'est jouable sans nat, avec du routage configuré sur les firewall asa…
Apres si c'est ce que je devine...alors ca veut que zeroshell n'est pas stateful....et c'est triste.
-
Bonsoir,
Il y a un problème de base.
Il n'est pas possible de cumuler deux liens internet de deux operateurs pour "doubler le debit" D'un flux HTTP. C'est un loadbalancer, il partage la charge….une connexion a gauche, une a droite etc.le sujet m’intéresse du fait de la pauvreté de l'offre chez moi.
j'ai biens compris qu'il n'y a pas agrégation de la bande passante, mais , vu que le dispatch se fait sur 2 liens internet, il y a bien un doublement de la capacité d'envois ou de réception des paquet non ? donc je suppose que suivant les type de flux, on va avoir une vrai augmentation du total possible de la bande passante (sur du torrent par exemple) ?
de même , je me pose la question sur la voie montant, j'ai un serveur à la maison et je me demande quel serai l'impact d'un load balancing pour les clients (c'est de l'hébergement de galeries photo…)
voici un lien youtube qui semble répondre à la question...
https://www.youtube.com/watch?v=Uiiy8YuWHcY
-
Salut salut.
Sauf erreur, il faut vraiment voir avec vos opérateurs pour savoir si vous pouvez realiser ce type de montage.
Mais là aussi je suis persuadé qu'ils vont vous rabattre sur leur offre dites pro qui pour certain n'en ont que le nom vu la piètre qualité sur leur services support et ou technique.Cordialement.
-
Ca marche. Mon record c'est 12 liens adsl en partage de charge.
Pour repondre aux questions :
- pour du torrent, multi flux, oui cela augmente le debit car il s'agit de plusieurs connexions en parallele
- pour les flux entrants, partage de photos, il suffit de mettre en place du round robin dns (= deux enregistrements A pointant vers chacune des IP publiques, sur le meme nom de serveur)
Aucune configuration spécifique côté opérateur.
Il y a deux trois précautions à prendre vis a vis de https, mais c'est peanuts.
-
Salut Juve,
voila le shéma avec les @ ip
au faite, ce que je trouve bizarre, c'est que chaque nouveau accès est autorisé juste pour quelques secondes et puis il se bloque.
-
salut salut
-
N'y aurait pas un param type ttl ou mtu à changer quelques part ?
-
Pouvez vous nous donner par hasard votre conf du FO/LB du pf au >> setting > routing ? (je pensais à une gestion des ordres de passage de liens ou quelques chose du genre)
Cordialement.
-
-
Salut Tatave
voila la config de routing
a ton service pour tout complément d'information :D
-
salut salut
je me trompe peu etre mais je m'attendais plus a une suite comme ce qui est donné dans le tuto de notre modo en titre
http://www.osnet.eu/fr/content/configuration-de-pfsense-avec-plusieurs-interface-wan
c'est grâce à ce tuto que j'ai monté quelque multi-wan et même adapté avec mon cluster pf quand j'effectuais des testes avec la connexion wifi de mon voisin pour simuler la deuxième patte wan.Cordialement.
-
Tutav, apparament tu n'as pas bien compris le sujet ;D
au faite, je ne dois pas activer le NAT vu que c'est les firewall qui jouent ce rôle.
-
salut salut
j'ai dit que je pouvais me tromper :p
-
donc le switch l3 route quoi ? Tous les vlans ?
Car il est la le routage asymetrique si c'est le casEt je ne parle pas des deux wan dans le meme subnet…
