Problème avec des interfaces virtuelles CARP



  • Bonjour,

    alors voilà je ne suis lancer depuis quelque temps dans la construction d'un cluster de PF et j'ai trouvé les documentations nécessaires sur le net.

    Cependant lorsque depuis un client je teste un ping vers mon IP virtuelle j'ai toujours délais d'attente dépassé :/ et de avec les deux interfaces virtuelles (LAN et WAN).

    Je joins un schéma pour présenter la structure.

    J'ai ajouter des règles de filtrage autorisant tout les trafics et ce sur toutes mes interfaces LAN et WAN.

    Je ne sais pas si le problème est courant mais là je n'arrive pas à identifier la cause du problème, pourtant je suis persuadé que c'est un soucis hyper basique…

    Si je n'ai pas était assez clair, je me ferais une joie d'apporter des détails sur ma maquette.

    Merci d'avance bonne soirée.

    http://leverrier.eu/Capture.PNG





  • @leverrid:

    J'ai ajouter des règles de filtrage autorisant tout les trafics et ce sur toutes mes interfaces LAN et WAN.
    …/...
    Si je n'ai pas était assez clair, je me ferais une joie d'apporter des détails sur ma maquette.

    ce que tu devrais décrire plus en détail, c'est les règles de FW que tu as mis en place



  • Comment est le masque du client servant au test ? Poster la définition de l'adresse carp pourrait être utile.



  • @Tatave:

    salut salut

    En premier lieu

    https://forum.pfsense.org/index.php?topic=79600.0

    En second lieu

    https://forum.pfsense.org/index.php?topic=124510.0

    Cordialement.

    Oups désolé, j'avoue ne pas avoir lu ces topics, sorry ^^



  • Contexte : milieu pro/asso/perso, niveau expertise de l'administrateur, age de la solution firewall (est ce nouveau ou pour test ou pour évolution)
                    Maquette réaliser dans le cadre de mon épreuve de BTS SIO SISR.
                    Niveau d'expertise : débutant

    Besoin : Garantir la haute disponibilité de plusieurs réseaux (LAN, WAN, DMZ,WIFI)

    Schéma : http://leverrier.eu/Schema_cluster_pfsense_E4.PNG

    Règles Firewall : http://leverrier.eu/Rules.png

    Question : Lorsque depuis un client je teste un ping vers mon IP virtuelle j'ai toujours délais d'attente dépassé :/ et ce avec les toutes les interfaces virtuelles (LAN, WAN, DMZ, WI-FI).

    Logs et tests : J'ai testé des "ping" vers toutes mes interfaces physiques et elle répondent toutes, j'ai ajouté des règles de filtrage qui autorise tous le traffic sur les interfaces LAN, WAN, SYNC. (Les règles sont jointes un peu plus haut).

    Voilà clairement là je sèche, pourtant je suis convaincue que le problème est bénins mais je n'arrive pas le trouver :/

    Pour monté mon cluster j'ai suivie ce Tutorial : http://www.supinfo.com/articles/single/3616-haute-disponibilite-routeurs-pfsense

    Merci d'avance :)

    Bonne journée



  • salut salut

    Le tuto que vous citez est bien une base de départ sauf que dans ce cluster il manque quelques bouts

    • dans la partie nat coté outbount dire que c'est l'ipv wan qui sert de gateway pour sortir vers votre point de sortie apres le pf vu extérieur.
    • dans la partie rule pour chaque interface interne (wifi lan dmz) qui va où et qui passe par où, ou ne vas pas.

    exemple
    – le lan go partout
    -- le wifi go partout sauf vers ???
    -- la dz go que vers x ou y via le port1 port2
    -- la dz ne peux pas aller vers lan et ou wifi sauf pour sur port/proto 1 2
    -- le wan go vers dz que via port/proto 1 2 et ailleurs = interdit

    Mais tout ca passe par ipv de chaque segment.
    Mon tuto est monté avec un double wan, retirer les rules et nat d'un des wan et vous aurez un cluster multi segments fonctionnel.
    pensez aussi au paramètre des dhcp pour votre lan et wifi à configurer de telle sorte que c'est la aussi ipv qui va servir de passerelle pour lan et wifi.

    Votre projet est intéressant mais il manque des notions et ou des points technique dans votre montage.
    vous trouvez aussi des questions même ici dans la section FR sur le paramétrage dhcp en cluster pour wifi/lan/dmz même avec des version plus anciennes qu'actuellement mais le principe reste valable.

    Cordialement.
    reprenez votre paramétrage contrôlez point par point, étape par étape.



  • Attention déterrage ^^

    Re bonjour tout le monde,

    Désolé pour cette petite absence, j'ai était pris par la préparation de mon BTS Blanc, la c'est bon je suis concentré à 100% sur ce cluster ^^

    Alors si j'ai bien compris il ne me manque que le NAT ?

    La syncro entre les deux PF fonctionne parfaitement mais lorsque que je bascule mes clients avec l'IP CARP en tant que passerelle c'est mort je ne sort plus nul part …

    Voilà merci :)



  • Le nat n'a rien à voir avec votre problème. Et comme vous ne répondez pas aux questions que l'on vous pose pour tenter un diagnostique ….



  • Quel question, celle avec le masque ?

    Il est évidement en /29 (255.255.255.248)



  • Et la configuration de l'interface carp …


Log in to reply