Server WEB in DMZ su MultiWAN con failover linee



  • Un saluto a tutti quanti.

    Ho provato a leggere ovunque, ho seguito anche la documentazione di m0n0wall (tornando al padre di pfSense) ma decisamente mi manca qualcosa. Quindi chiedo aiuto a voi.

    Allora, iniziamo. Ho un firewall con 4 interfacce:
    LAN      192.168.0.0/24
    WAN1  192.168.1.0/24 (in realtà è in DHCP, è una linea nuova che sto testando) con IP pubblico dinamico
    WAN2  192.168.2.136/29 (è la linea su cui ho gli 8 IP pubblici statici, questo indirizzo di rete è solo per semplificare)
    DMZ    192.168.3.136/29

    Dalla WAN2 tolti indirizzi di rete, broadcast e indirizzo del router, ovviamente ho 5 indirizzi pubblici liberi, sufficienti per i server in DMZ e altri servizi.
    Quello che voglio ottenere e che attualmente già funziona è far accedere i client ad internet attraverso la WAN1 finché è disponibile e passare su WAN2 solo in caso di caduta. I server invece devono essere pubblicati sulla WAN2 con i rispettivi indirizzi. Attualmente con la DMZ disabilitata il failover funziona correttamente.
    Mettendo però un server WEB in DMZ non riesco praticamente a fargli fare nulla, ne accedere ad internet, ne tantomeno rispondere a richieste da client.
    Ora ho cancellato tutte le prove fatte per ripartire da una situazione pulita.
    Riporto qui i passaggi (sicuramente da correggere o integrare):

    • Aggiunto un Virtual IP su WAN2
    • Nattato 1:1 questo IP con l'IP reale in DMZ del server
    • Aggiunte le regole per permettere al server in DMZ di effettuare query a server DNS in internet
    • Aggiunte le regole per (ad esempio) permettere al server in DMZ di aprire pagine in internet tramite browser su porta 80.

    Primo problema: non risolve i nomi, anche se la relativa regola viene applicata.
    Ho anche provato ad far passare le richieste ICMP ma idem come per il DNS.
    La quasi certezza è che il server riesca ad uscire ma non riceva le risposte. Il NAT 1:1 è bidirezionale, quindi proprio non capisco.

    Ringrazio già da ora chiunque abbia un'idea per iniziare…



  • Non è conf. semplicissima … e per capire dove stà il prob. avrei bisogno delle schermate di come sono conf. le interfacce, delle regole del firewalll per ogni interf., di tutte le parti di NAT sia di pfw che 1:1 che outband dei vip ev. alias se li usi. Nascondi gli ip o mettici degli ip falsi ... poi appena ho tutto d'ho un occhio. A già anche i pool di load e failover.

    Ciaoz.-

    PS: cercami in msn (info@mascomputer.net) magari parlando in tempo reale ci si capisce meglio :D :P



  • Intanto ti ringrazio.
    Sono un po' incasinato e per questo ritardo nelle risposte. Tra l'altro ho due demo nei prossimi 2 giorni e non posso spostare il server. Ti allego intanto gli screenshot delle configurazioni rimaste dopo la pulizia!!!

    Ti ho aggiunto su msn, ti contatterò al più presto.

    Grazie

    Alessandro

    ![Load Balancer.JPG](/public/imported_attachments/1/Load Balancer.JPG)
    ![Load Balancer.JPG_thumb](/public/imported_attachments/1/Load Balancer.JPG_thumb)



  • WAN2




  • DMZ




  • Regole firewall




  • Decisamente è meglio che mi chiami su MSN … c'è troppo roba. E già da queste schermate ci sono delle cose che non mi tornano.

    Ciaoz.-

    Matteo


Locked