2 Pfsense Failover + Bridge + Load Balancing



  • Bonjour à tous,

    Je viens vers vous pour vous demander conseil sur l'architecture que je souhaiterais mettre en place. J'ai donc deux pfsense en mode bridge avec l'interface OPT1 qui est reliée à une stack de switch. Sur cette stack j'ai deux serveurs de messagerie. Tout est en adressage publique. Mes règles de filtrage sont en places et validées. Maintenant, j'aimerais faire du load balancing  pop/smtp. Pour cela, j'aimerais affecté une adresse IP publique au pool. Je n'arrive pas à trouver l'endroit pour mettre une nouvelle adresse WAN. Pourriez-vous m'aiguiller ?

    Je vous remercie par avance.
    Cordialement,
    Matthieu.



  • Pour pouvoir utiliser des IP sur un pool je n'aurais pas mis en place un bridge mais un simple routage. Le bridge est transparant…là ca va être compliqué. Là visiblement c'est plus un problème d'architecture qu'autre chose.
    Faudrait essayer de rajouter une zone et de relier ces interfaces au switch...après faut voir le cheminement des paquets... qu'ils ne ressortent pas de la pf par la patte bridgée....normalement non.



  • Une ip pour un pool de serveurs de mails ? en ce qui me concerne je le ferai avec un switch.



  • Merci pour vos réponses. Je me disais bien que cette architecture était un mauvais choix.

    Concrètement, je créer un subnet privée sur une NIC, j'adresse mes serveurs mails sur ce subnet. Ensuite je fais du NAT 1:1 pour faire correspondre ip publique de chacun avec leur IP privée.

    Mais au niveau du LB, je dois toujours avoir une IP publique dédié au serveur mail (smtp,pop,imap,http) qui redirigera le tout sur les IP privée. Même si l'adresse IP publique est sur un subnet différent du pool, celà fonctionne ? Je dois toujours définir cette nouvelle adresse quelque part. Dans virtual server, il y a 3 mode carp,proxy arp ou other, que dois-je sélectionner ? (Sachant que j'ai déjà une interface CARP pour le failover entre mes 2 pfsense)

    Désolé pour toutes ces questions.

    Merci.
    Cordialement,
    Matthieu.



  • Non pas d'IP privée et pas de NAT. Vous demandez a votre ISP de vous router votre plage publique vers l'interface WAN (CARP) de votre cluster de firewall.
    Trois solutions:

    • l'ISP fournit un nouveau reseau public en /29 pour cette liaison routeur/Firewall
    • L'ISP passe son routeur en IP privée et vous configurez un WAN privé sur vos firewall (cela economise des IP et c'est plus sécurisé)
    • Vous découpez votre subnet publique en plusieurs subnet et vous en utilisez un sur la partie WAN.


  • Merci de vous pencher sur mon problème.

    Je n'ai pas de soucis d'adresse IP, j'ai une classe C complète. Ce qui m'intéresse vraiment c'est la partie load balancing. Dans les solutions que vous m'évoquez, je fais du load balancing avec l'ip "WAN" de pfsense, j'ai ommis de vous dire que derrière les pfsenses, je souhaite mettre une grappe de serveur web, une grappe de serveur mail et de pouvoir en rajouter pour d'autres services, c'est pourquoi je me demandais comment rajouter des IP sur la pate WAN pour les attribuer à mes différentes grappe de serveur. Merci par avance.

    Matthieu.



  • En fait, je ne parlais pas de la patte WAN. Avec la solution que j'ai décrite votre plage publique sera en DMZ. Les flux passeront donc forcement à travers pfSense.
    Après, pour créer des pool d'équilibrage il n'y a plus vraiment de soucis, placez vos serveurs dans le LAN en adressage privé, faites un pool d'equilibrage qui contient ces serveurs…faites des IP Carp en DMZ (ip publiques donc) pour les utiliser en tant que virtualServers (http://devwiki.pfsense.org/IncomingLoadBalancing), placez les virtualserver dans le pool d'équilibrage et ca devrait fonctionner apres avoir ajouté les règles de firewall adéquates.



  • Merci pour vos réponses. J'ai modifier mon architecture. Le WAN de mes pfsenses est en IP privée sur lequel est pousser mon subnet public. J'ai créer une DMZ où sont mes serveurs. J'ai créer des interfaces CARP pour mon cluster mail et web. j'arrive maintenant à accéder à mes serveurs sur l'interface CARP dédiée.

    Par contre, j'ai pas l'impression que l'algorithme de répartition de charge fonctionne correctement.

    En effet, c'est toujours le deuxième serveur qui répond, j'ai lancer 25 sessions, toujours le même serveur. Vous avez une idée ?

    Cordialement,

    Matthieu.



  • le paramètre Sticky Sessions est -il activé ?



  • Oui il est activé. J'ai inversé l'ordre dans la pool, maintenant je tombe sur l'autre.


Log in to reply