Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    2 Pfsense Failover + Bridge + Load Balancing

    Scheduled Pinned Locked Moved Français
    10 Posts 3 Posters 8.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pwwwet
      last edited by

      Bonjour à tous,

      Je viens vers vous pour vous demander conseil sur l'architecture que je souhaiterais mettre en place. J'ai donc deux pfsense en mode bridge avec l'interface OPT1 qui est reliée à une stack de switch. Sur cette stack j'ai deux serveurs de messagerie. Tout est en adressage publique. Mes règles de filtrage sont en places et validées. Maintenant, j'aimerais faire du load balancing  pop/smtp. Pour cela, j'aimerais affecté une adresse IP publique au pool. Je n'arrive pas à trouver l'endroit pour mettre une nouvelle adresse WAN. Pourriez-vous m'aiguiller ?

      Je vous remercie par avance.
      Cordialement,
      Matthieu.
      Dessin1.jpg
      Dessin1.jpg_thumb

      1 Reply Last reply Reply Quote 0
      • J
        Juve
        last edited by

        Pour pouvoir utiliser des IP sur un pool je n'aurais pas mis en place un bridge mais un simple routage. Le bridge est transparant…là ca va être compliqué. Là visiblement c'est plus un problème d'architecture qu'autre chose.
        Faudrait essayer de rajouter une zone et de relier ces interfaces au switch...après faut voir le cheminement des paquets... qu'ils ne ressortent pas de la pf par la patte bridgée....normalement non.

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Une ip pour un pool de serveurs de mails ? en ce qui me concerne je le ferai avec un switch.

          1 Reply Last reply Reply Quote 0
          • P
            pwwwet
            last edited by

            Merci pour vos réponses. Je me disais bien que cette architecture était un mauvais choix.

            Concrètement, je créer un subnet privée sur une NIC, j'adresse mes serveurs mails sur ce subnet. Ensuite je fais du NAT 1:1 pour faire correspondre ip publique de chacun avec leur IP privée.

            Mais au niveau du LB, je dois toujours avoir une IP publique dédié au serveur mail (smtp,pop,imap,http) qui redirigera le tout sur les IP privée. Même si l'adresse IP publique est sur un subnet différent du pool, celà fonctionne ? Je dois toujours définir cette nouvelle adresse quelque part. Dans virtual server, il y a 3 mode carp,proxy arp ou other, que dois-je sélectionner ? (Sachant que j'ai déjà une interface CARP pour le failover entre mes 2 pfsense)

            Désolé pour toutes ces questions.

            Merci.
            Cordialement,
            Matthieu.

            1 Reply Last reply Reply Quote 0
            • J
              Juve
              last edited by

              Non pas d'IP privée et pas de NAT. Vous demandez a votre ISP de vous router votre plage publique vers l'interface WAN (CARP) de votre cluster de firewall.
              Trois solutions:

              • l'ISP fournit un nouveau reseau public en /29 pour cette liaison routeur/Firewall
              • L'ISP passe son routeur en IP privée et vous configurez un WAN privé sur vos firewall (cela economise des IP et c'est plus sécurisé)
              • Vous découpez votre subnet publique en plusieurs subnet et vous en utilisez un sur la partie WAN.
              1 Reply Last reply Reply Quote 0
              • P
                pwwwet
                last edited by

                Merci de vous pencher sur mon problème.

                Je n'ai pas de soucis d'adresse IP, j'ai une classe C complète. Ce qui m'intéresse vraiment c'est la partie load balancing. Dans les solutions que vous m'évoquez, je fais du load balancing avec l'ip "WAN" de pfsense, j'ai ommis de vous dire que derrière les pfsenses, je souhaite mettre une grappe de serveur web, une grappe de serveur mail et de pouvoir en rajouter pour d'autres services, c'est pourquoi je me demandais comment rajouter des IP sur la pate WAN pour les attribuer à mes différentes grappe de serveur. Merci par avance.

                Matthieu.

                1 Reply Last reply Reply Quote 0
                • J
                  Juve
                  last edited by

                  En fait, je ne parlais pas de la patte WAN. Avec la solution que j'ai décrite votre plage publique sera en DMZ. Les flux passeront donc forcement à travers pfSense.
                  Après, pour créer des pool d'équilibrage il n'y a plus vraiment de soucis, placez vos serveurs dans le LAN en adressage privé, faites un pool d'equilibrage qui contient ces serveurs…faites des IP Carp en DMZ (ip publiques donc) pour les utiliser en tant que virtualServers (http://devwiki.pfsense.org/IncomingLoadBalancing), placez les virtualserver dans le pool d'équilibrage et ca devrait fonctionner apres avoir ajouté les règles de firewall adéquates.

                  1 Reply Last reply Reply Quote 0
                  • P
                    pwwwet
                    last edited by

                    Merci pour vos réponses. J'ai modifier mon architecture. Le WAN de mes pfsenses est en IP privée sur lequel est pousser mon subnet public. J'ai créer une DMZ où sont mes serveurs. J'ai créer des interfaces CARP pour mon cluster mail et web. j'arrive maintenant à accéder à mes serveurs sur l'interface CARP dédiée.

                    Par contre, j'ai pas l'impression que l'algorithme de répartition de charge fonctionne correctement.

                    En effet, c'est toujours le deuxième serveur qui répond, j'ai lancer 25 sessions, toujours le même serveur. Vous avez une idée ?

                    Cordialement,

                    Matthieu.

                    1 Reply Last reply Reply Quote 0
                    • J
                      Juve
                      last edited by

                      le paramètre Sticky Sessions est -il activé ?

                      1 Reply Last reply Reply Quote 0
                      • P
                        pwwwet
                        last edited by

                        Oui il est activé. J'ai inversé l'ordre dans la pool, maintenant je tombe sur l'autre.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.