Probleme de firewall entre 2 pfsense dualwan ( loadbalancing + failover )



  • bon voici mon petit problème
    je possède 2 connections internet et 5 sous reseaux
    qui sont reparti de la façon suivante
    1 pfsense : une adsl en ppoe-bridge et ligne cable le tout configurer en load balancing + fail over
    2 pfsense : 5 sous reseaux chaqu'un répartit sur chaque carte reseau ensuite repartit sur des switch

    mon problème étant que j aimerai me passer d avoir deux firewall actif
    hors quand je desactive le firewall du pfsense n°1 il desactive aussi le nat

    mon but final est que la pfsense n°1 s' occupe uniquement des connections wan sans bloquer aucun trafic
    et que la pfsense n°2 s' occupe du firewall et du routage vers les different sous reseau

    que puis je faire afin de corriger cela ?

    ADSL  =>
                    PFSENSE N°1 =>PFSENSE N°2 => ALL SUBNET ( 1SUBNET by NIC )
    CABLE =>

    merci



  • mon but final est que la pfsense n°1 s' occupe uniquement des connections wan sans bloquer aucun trafic
    et que la pfsense n°2 s' occupe du firewall et du routage vers les different sous reseau

    Je ne vois aucun intérêt à cette configuration. Selon vous, quels avantages apporte cette configuration ? D'un strict point de vue probabiliste cette configuration "améliore" les chances de pannes.

    Utiliser deux Pfense dans cette configuration : http://pfsense.bol2riz.com/tutorials/carp/carp-cluster-new.htm , je comprend en quoi c'est intéressant.



  • merci pour votre interêt a mon problème mais voila pourquoi j ai besoin de deux pfsense
    j ai 5 sous reseau chaqu'un repartit sur une carte reseau diffèrente pourquoi ? les besoins en bande passante sont très important sur les sous reseaux
    la machine dedié a cette effet ne sais pas acceuillir plus de carte reseau ( pas assez de port PCI )
    ayant pour le moment deux connections internet dans le futur proche 4
    il me faut une autre machine dedié à la gestion des différentes connections
    je suis conscient de risque de panne suplèmentaire mais helas je fais avec les moyens que l on met a ma disposition

    merci



  • C'est à l'évidence une mauvaise solution à un problème réel. La solution que vous envisagez n'est pas de nature à mieux satisfaire vos besoins de bande passante. Bien au contraire.

    Première solution.
    Utiliser des vlans. Une seule carte permettra de monter autant de Vlan que nécessaire et donc de connecter vos sous réseaux.

    Deuxième solution.
    Puisque le besoin de bande passante est fort utilisez des cartes capables de fournir ce dont vous avez besoin, c'est à dire des cartes Intel Gigabit pour serveur. Ces cartes existent judicieusement avec 1, 2 ou 4 ports. Il existe aussi des cartes 10 Gigbits avec un seul port.

    Un cluster Pfsense répondra bien mieux à vos besoins de bande passante. Il fournira aussi de façon sérieuse le load balancing et le failover (puisque c'est dans le titre de votre post).

    Enfin il reste à voir ce que vous appelez des besoins importants en bande passante sur les sous réseau et quelle est leur organisation. Je vous invite aussi à lire, si ce n'est déjà fait, ce document. Les cartes réseaux ne sont pas le seul facteur limitant. http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49



  • Quel est le point caractérisant votre débit maximum, le débit des cartes ou le débit cumulé des liens Internet ?
    Si vous possédez deux connexions Internet qui à elles-deux offrent un débit supérieur au débit de la carte la moins rapide alors vous devriez changer de carte.
    Le remplacement de ces cartes par de simples cartes Gigabit (mono, dual ou quad port), comme l'a dit CCNET, vous simplifierais la chose, vous pourriez alors transformer vos deux machines actives en cluster actif/passif (failover) à basculement sans rupture de flux ( carp + pfsync).
    Si vous devez filtrer un fort traffic (>100mb/s), prévoyez 1go de RAM et un processeur > 2,5ghz.


Locked