Gestion du NAT sortant pour du multi WAN
-
Bonjour,
Je suis perdu face à pfsense.
Peut être me suis-je perdu à utiliser isa puis tmg de Microsoft…
Enfin bref...Contexte :
milieu pro
niveau expertise de l'administrateur: débutant coté PfSense, initié coté réseau
age de la solution firewall: nouveau pour remplacement TMG 2010Besoin :
J'ai une infra dont les traits essentiels sont la source de mes difficultés (un réseau simple avec juste une sortie c'est quand même plus simple et ça permet d'utiliser les assistants... Et oui, je suis Windowsien):
2 WAN (ADISTA/ORANGE), 2 LAN (INTERNE et PREPA)Schéma :
WAN1 ADISTA: routeur fibre + routeur SDSL chacun avec une ip (192.168.80.252 et .253) et également avec une IP virtuelle commune (192.168.87.254) gérant leur failover (pour ce qui est de leur lan). Coté Wan, ils passent par l'infrastructure ADISTA au bout de laquelle nous avons 2 adresses IP publique ( disons ad1 et ad2 le but étant de séparer certains flux, mais peut être ai-je fait erreur à ce niveau)
Sur ce Wan, il y a des clients VPN pour lesquels je devrais avoir un routage libre depuis et vers les machines de mon réseau interne.WAN2 ORANGE: Modem routeur ADSL avec une ip de son coté lan (192.168.250.1). Coté Wan, nous avons une ip Orange… disons orange1.
Les objectifs de ce Wan: la mise en palce rapide de routages, le failover, le déchargement si possible en cas de saturation sur le lien principal...LAN1 Interne : 1 seul VLAN, 1 seul réseau 172.17.0.0/20 mix adresses IP fixe et DHCP fourni par contrôleurs de domaines
LAN2 Prepa: 1 seul VLAN, 1 seul réseau (192.168.0.0/32 mais j'aimerais y mettre plusieurs réseaux logiques pour faire face au différents PC en IP fixe venant de nos différents clients)
DMZ : pas de DMZ
WIFI : pour le moment mélangé à notre LAN (devrait être séparé par la suite avec adressage indépendant et priorisation différente)
Règles NAT : forward, 1-to-1, manual/automatic outbound, ...
Hum... Là, je trouve qu'il est difficile de savoir...
Justement, j'ai un problème de NAT sortant, je ne suis qu'au début du maquettageRègles Firewall : pour l'instant rien de plus que ce que PFsense a mis en place automatiquement.
Packages ajoutés :
bandwidthd pour monitorer l'activité
darkstat pour monitorer l'activité
iftop installé par un autre paquet
Lightsquid pour étudier l'efficacité de squid
nmap pour la gestion du réseau
pfBlockerNG Pour bloquer les accès d'IP réputées troubles.
squid Optimisation de la bande passante, cache mises à jour Windows, publication "intelligente" (si possible) d'exchangeAutres fonctions assignées au pfSense : Par la suite, j'aurais probablement un VPN, peut être un portail captif...
Autres: machine intégrant un raid 1 sur des disques "standards" et un SSD sur lequl je souhaite mettre mon cache. (mes aventures précédentes sur mon pf sense ont justement été la mise en place de ce SSD)Question :
Mon 1er problème c'est la gestion du nat sortant...
Je souhaiterais les gérer en failover avec une priorité sur Adista...
Ou est-ce que je vais trouver les infos la dessus?Merci.
-
La mise en œuvre de multi WAN ne nécessite absolument aucune modification des règles de NAT par défaut de pfSense en mode automatique.
Tout se passe dans la gestion des gateway, des groupes de gateway, des tiers… Et des règles de FW