[RESOLU] 2 interfaces WAN, 3 modems, meilleure solution ?
-
[édité car jugé pas assez clair -> 2ème essai]
Contexte : petite mairie, ~100 PC sur le LAN, 1 serveur, 1 pfsense 2.3.2 sur boîtier Alix 2d13 tournant depuis plusieurs années (donc évolution) avec 1 connexion ADSL (4 Mb/s) et 1 SDSL (1 Mb/s), administrateur censé maitriser le sujet mais visiblement pas assez ;)
Besoin : l'accès internet étant régulièrement saturé et une connexion ADSL (4 Mb/s) ayant été retrouvée dans un coin, il faudrait l'ajouter aux deux déjà utilisées (ADSL et SDLS), et disposer ainsi des 3 accès derrière le boîtier Alix/pfsense.
Schéma :
WAN : 3 accès internet, chacun avec son modem, 1 ADSL et 1 SDSL chacun avec une IP publique configurée sur le pfsense, et la "nouvelle" ADSL avec un modem configuré avec une IP privée (192.168.x.y, distincte du LAN). Les 3 modems sont configurés par le FAI, je n'ai pas accès directement à leur configuration.
LAN: ~ 100 postes, IP 192.168.z.0
Entre LAN et WAN : un pfsense sur boîtier Alix 2d13 3 ports, 1 pour le LAN et 2 pour le WAN (1 par modem)
DMZ aucune
WiFi : n'intervient pas dans le problème
autre interface : un accès openVPN géré par pfsense
Règles NAT : automatic outbound (config par défaut)
Règles firewall : orientation de trafic sur les 2 gateways selon différents critères (destination, ports, utilisateurs)
Packages ajoutés : iftop, nmap
Autres fonctions assignées au pfSense : DHCP, DNS forwarder, le serveur VPN cité plus haut.Question :
- question d'origine : comment connecter le 3ème modem afin que l'ensemble des 3 accès internet soient gérables via le pfsense déjà en place, alors qu'il n'y a que 2 ports WAN et que les interfaces des modems sont dans des sous-réseaux différents ?
- question réellement posée ici : ma démarche vaut-elle la peine d'être creusée ou suis-je parti dans une impasse ?
Pistes imaginées :
- connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) : depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense.
- configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.
Logs et tests : Je peux refaire à la demande, car plusieurs jours de tests en croisant les différentes possibilités ça fait des tonnes de tests et de logs… j'ai suivi les tutos trouvés, puis je suis passé au mixage de tutos.
Voilà, j'espère avoir mieux respecté le cadre du forum et que ma demande est un peu moins incompréhensible.
Message d'origine :
Bonjour,
dans une petite mairie, un boitier Alix 2d13 (1 LAN, 2 WAN) avec pfsense 2.3.2 fait le lien entre le LAN et 2 modem/routeurs (1 ADSL 4Mb/s et 1 SDSL 1 Mb/s).
Un autre modem/routeur ADSL est disponible, et je voudrais le rajouter derrière le pfsense.
Les 3 modems ont des config "figées" par le fournisseur, avec des IP internes appartenant à des sous-réseaux différents (2 IP 178.x.y.z pour ceux en place et 1IP 192.168.x.y pour le nouveau).J'ai branché le nouveau modem sur le switch du modem ADSL déjà présent. J'ai ajouté une IP à l'interface WAN (testé IP virtuelle, CARP, proxy ARP), pfsense arrive à pinguer l'IP ajoutée et les modems, mais je n'arrive pas à faire le routage entre le LAN et les modems (la table de routage me parait pourtant correcte, et en tous cas les chemins sont identiques pour joindre les anciens et le nouveau modem).
En configurant un NAT outbound sur l'IP ajoutée, j'arrive depuis le LAN à atteindre l'un ou l'autre modem suivant l'ordre des règles de NAT, mais pas les deux et je ne sais pas orienter le trafic avec des règles firewall.Y-a-t-il une chance de réussir dans cette voie, ou je me suis lancé dans une impasse et il faut obligatoirement passer par les vlan en intercalant un switch les gérant entre les modems et pfsense ?
Merci d'avance pour toute remarque !
-
Salut salut
Je suis plus que perplexe avec votre post actuelle.
Je ne comprend presque rien à votre demande.
Je comprends surtout que vous désirez une solution sans avoir l'effort de recherche réelle et encore moins de compréhension.
De plus je note comme votre premier post que vous ne respectiez pas non plus "la charte" de cette section https://forum.pfsense.org/index.php?topic=79600.0Non cordialement.
-
Je comprends surtout que vous désirez une solution sans avoir l'effort de recherche réelle et encore moins de compréhension.
Je me suis donc très mal exprimé puisque ce n'est pas du tout le cas : j'ai beaucoup cherché, et je cherche surtout un avis "c'est la peine de continuer à chercher dans cette voie" ou "tu t'es planté, recommence en ajoutant le mot clé Y".
Mais donc comme j'ai mal fait je recommence, juste le temps de retaper ma demande, et j'espère que ce sera plus clair. -
Le formulaire A LIRE EN PREMIER est destiné à fournir une trame de présentation à adapter selon le cas.
C'est un peu contraignant mais cela facilite la compréhension des lecteurs … donc c'est votre intérêt.Ce qu'on comprend :
- vous avez 2 WAN et vous en voulez 1 supplémentaire : il est conseillé d'avoir une interface physique réelle par interface WAN : Alix dispose-t-il de 4 interfaces ethernet (LAN + 3 WAN) ?
(En entreprise,) Il n'est pas super judicieux de multiplier les lignes WAN. (C'est d'ailleurs conseillé par l'ANSSI cf https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/)
Il est préférable de commander une ligne avec backup intégré : le fournisseur apporte un routeur avec 2 liaisons : la principale et celle de secours. -
@jdh:
Ce qu'on comprend :
- vous avez 2 WAN et vous en voulez 1 supplémentaire : il est conseillé d'avoir une interface physique réelle par interface WAN : Alix dispose-t-il de 4 interfaces ethernet (LAN + 3 WAN) ?
Non, carte 3 ports : 1 LAN et 2 WAN actuellement.
@jdh:
(En entreprise,) Il n'est pas super judicieux de multiplier les lignes WAN. (C'est d'ailleurs conseillé par l'ANSSI cf https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/)
Il est préférable de commander une ligne avec backup intégré : le fournisseur apporte un routeur avec 2 liaisons : la principale et celle de secours.Vu les débits locaux à 5 km du NRA en coupant par les champs, hors multiplication des liens, il n'y a pas trop d'autres solution ;)
-
@jdh:
(En entreprise,) Il n'est pas super judicieux de multiplier les lignes WAN. (C'est d'ailleurs conseillé par l'ANSSI cf https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/)
Pourquoi pas… C'est une interprétation du texte.
Une autre interprétation, c'est qu'il ne faut pas avoir d'accès WAN "hors contrôle". Le fait d'en avoir plusieurs rend le contrôle plus difficile... mais dans ce cas, avec tous les accès derrière le même firewall, ça ne s'applique pas.- est-il bien clair pour toi que l'ajout d'accès ADSL en parallèle ne va pas avoir pour conséquence une bande passante maximum triplée.
- ça va permettre, sous certaines conditions uniquement, de faire du load-balancing mais le bénéfice n'est pas la réduction par 3 des temps de transfert.
- un proxy est également très efficace (sauf pour le flux HTTPS bien sûr puisque ce lui-ci n'est pas en cache)
Sur ce que tu décris, ça devrait fonctionner si tu ajoute une IP virtuelle pour créer une interface WAN supplémentaire nécessaire aux policy routing mais j'avoue ne pas avoir réfléchi à tous les détails.
Tu peux sans problème faire le test avec tes 2 accès ADSL existants en utilisant une seule interface physique WAN avec une IP supplémentaire. -
- est-il bien clair pour toi que l'ajout d'accès ADSL en parallèle ne va pas avoir pour conséquence une bande passante maximum triplée.
- ça va permettre, sous certaines conditions uniquement, de faire du load-balancing mais le bénéfice n'est pas la réduction par 3 des temps de transfert.
- un proxy est également très efficace (sauf pour le flux HTTPS bien sûr puisque ce lui-ci n'est pas en cache)
Dans l'ordre, oui, oui et c'est prévu ;)
J'utilise déjà le principe sur d'autres sites, là c'est vraiment l'aspect 2 modems/1 interface/pfsense qui me bloque.Sur ce que tu décris, ça devrait fonctionner si tu ajoute une IP virtuelle pour créer une interface WAN supplémentaire nécessaire aux policy routing mais j'avoue ne pas avoir réfléchi à tous les détails.
Tu peux sans problème faire le test avec tes 2 accès ADSL existants en utilisant une seule interface physique WAN avec une IP supplémentaire.J'ai testé et je teste dans tous les sens… dans les IP virtuelles l'IP alias semble correspondre au cas d'après ce que je lis, encore un peu demain, et après plan B, la curiosité c'est bien mais faut être raisonnable aussi parfois ;D
-
Ce qui serait bien, c'est que tu décrives ce qui ne marche pas si tu fais un test du genre
- LAN sur l'interface LAN de pfSense
- les 2 liens ADSL avec 2 IP privées dan 2 subnets différents
- 1 interface WAN avec une IP virtuelle supplémentaire. L'IP de l'interface WAN est dans le subnet de l'ADSL 1, l'IP virtuelle dans le subnet de l'interface 2
En même temps, en écrivant ça, je me demande si pfSense va accepter ce genre de config…
J'ai relu ton premier message modifié: les montages bizarres avec le LAN connecté directement à l'ADSL etc... laisse tomber ou alors oublie le FW.
-
Ce qui serait bien, c'est que tu décrives ce qui ne marche pas si tu fais un test du genre
- LAN sur l'interface LAN de pfSense
- les 2 liens ADSL avec 2 IP privées dan 2 subnets différents
- 1 interface WAN avec une IP virtuelle supplémentaire. L'IP de l'interface WAN est dans le subnet de l'ADSL 1, l'IP virtuelle dans le subnet de l'interface 2
Schéma :
WAN : 3 accès internet, chacun avec son modem, 1 ADSL et 1 SDSL chacun avec une IP publique configurée sur le pfsense, et la "nouvelle" ADSL avec un modem configuré avec une IP privée (192.168.x.y, distincte du LAN). Les 3 modems sont configurés par le FAI, je n'ai pas accès directement à leur configuration.
LAN: ~ 100 postes, IP 192.168.z.0
Entre LAN et WAN : un pfsense sur boîtier Alix 2d13 3 ports, 1 pour le LAN et 2 pour le WAN (1 par modem)[…]
Pistes imaginées :
- connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) : depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense.
- configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.
Je ne peux que renouveler mes excuses si je ne m'exprime pas assez clairement ;)
En même temps, en écrivant ça, je me demande si pfSense va accepter ce genre de config…
C'est en effet là toute la question que je (me) pose, bienvenue au club :)
J'ai relu ton premier message modifié: les montages bizarres avec le LAN connecté directement à l'ADSL etc… laisse tomber ou alors oublie le FW.
Pour moi, le port/switch LAN d'un modem n'est pas le réseau LAN, de là doit venir l'incompréhension. S'il y a une tournure plus claire, je la veux bien, ça m'évitera de recommencer. Port interne ça me plait pas, "port côté LAN du modem" ?
-
C'est en effet là toute la question que je (me) pose, bienvenue au club :)
mais qu'est-ce qui t'empêche juste de le tester ???
J'ai relu ton premier message modifié: les montages bizarres avec le LAN connecté directement à l'ADSL etc… laisse tomber ou alors oublie le FW.
Pour moi, le port/switch LAN d'un modem n'est pas le réseau LAN, de là doit venir l'incompréhension. S'il y a une tournure plus claire, je la veux bien, ça m'évitera de recommencer. Port interne ça me plait pas, "port côté LAN du modem" ?
Non j'ai fini par comprendre ce que tu veux dire. Je ne risquais pas de comprendre car je n'imaginais pas que tu interconnecterais les switch internes des box de cette manière. J'avais en tête que tu connectais les box sur un switch, de toute évidence ce n'est pas le cas.
donc là, tu ajoutes, aux incertitudes du paramétrage de pfSense, l'interconnexion des switch des box… pourquoi pas.
Le design de test qui me semble le plus simple:
- tu configures les 2 box pour avoir une IP interne (coté LAN) dans 2 subnets différents.
- tu connectes ces box à un switch commun auquel tu connectes également pfSense sur lequel tu as configuré 2 IP (une dans chaque subnet des box) sur la même interface physique.
- tu t'assures que tu arrives, depuis pfSense, à parler à chaque box...
ensuite, il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-) mais déjà le test ci-dessu devrait te donner une idée de la faisabilité. Si ça ne marche pas, il faut faire des VLAN.
Est-ce que ça vaut bien le coup avec une ligne à 1Mb/s ? ::)
-
mais qu'est-ce qui t'empêche juste de le tester ???
- connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) : **depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense.
- configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.**
Testé sur le réseau "prod" comme sur config de test, résultats identiques.
Le design de test qui me semble le plus simple:
- tu configures les 2 box pour avoir une IP interne (coté LAN) dans 2 subnets différents.
- tu connectes ces box à un switch commun auquel tu connectes également pfSense sur lequel tu as configuré 2 IP (une dans chaque subnet des box) sur la même interface physique.
- tu t'assures que tu arrives, depuis pfSense, à parler à chaque box…
ensuite, il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-) mais déjà le test ci-dessu devrait te donner une idée de la faisabilité. Si ça ne marche pas, il faut faire des VLAN.
Depuis pfsense, tout va bien (enfin tout, les pings, hein), depuis le LAN non, on est donc une 2ème fois parfaitement d'accord "il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-)" :)
Est-ce que ça vaut bien le coup avec une ligne à 1Mb/s ? ::)
En download on arriverait à 4 + 1 + 4, en upload 0,5 + 1 + 0,5… pour 20 à 40 utilisateurs simultannés... en répartissant bien, ça peut devenir le grand luxe ::)
Bon, si je résume :
- connecter un 2ème modem sur une même interface physique d'un pfsense à l'aide d'une IP virtuelle (IP alias), en théorie ça pourrait marcher d'après les (nombreuses) docs trouvées et l'avis de Chris, mais en pratique je n'ai trouvé personne qui ait testé, et mes (longs) tests sont négatifs, donc j'oublie.
- la solution conseillée est bien d'intercaler un switch entre le pfsense et les modems et de faire du vlan, merci pour la confirmation.
Merci à jdh et chris4916 pour leurs avis.
Pour Tatave, je ne peux que lui conseiller de consulter les "Règles de la section française", qu'il trouvera là : https://forum.pfsense.org/index.php?topic=9708.0 et où il lira "Veuillez veillez [sic] à rester polis et courtois.", l'agression gratuite ne me semble pas conforme à cette règle ;DBon week-end à tous (sans exception) !