[RÉSOLU] Problème de configuration load balancing

paddaone

Bonjour à tous,

Désolé je suis vraiment débutant et je galère un peu sur la configuration de mon boitier pfsense. J'ai fait mon éducation à la lecture de la documentation NETGATE en anglais (!) et en parcourant forums et tutos. Besoin d'aide!!

Ma configuration actuelle :
2 connexions VDSL (ORANGE et BBOX) chacune avec ip publique fixe
2 modems donc :
ORANGE : 192.168.X.1
BBOX : 192.168.Y.1
Chaque box (DHCP désactivé) pointe vers le boitier dédié pfsense qui est en 192.168.X.2 et 192.168.Y.2

Jusqu'à présent, je gérais le réseau local et le dual wan via un routeur ASUS BRT-AC828 et tout fonctionnait. Le problème étant que la sécurité n'est quasiment pas gérée quand en mode dual wan. J'ai donc décidé de passer sur un boitier pfsense.

Sur le boitier PfSense, j'ai configuré :
WAN1 + WAN 2 avec groupe de passerelles / tout ça fonctionne j'ai internet sur les deux connexions - indicateurs au vert.
DNS respectifs (orange et bbox) assignés à chaque passerelle.
LAN et WIFI pontés avec DHCP activé sur le LAN 192.168.20.1/24 On dirait que ça fonctionne aussi.

Sur le réseau local, quelques PC et 2 NAS synology DS216J, le premier NAS en 192.168.20.30 (NAS01) et le 2nd en 192.168.20.35 (NAS02).
L'accès aux nas se fait via https://ip_lan:port

Enfin, un serveur hébergé chez un prestataire externe qui est sauvegardé en FTP tous les soirs sur NAS01. Il est en IP fixe.

Au niveau du pare feu, j'ai essayé d'être le moins restrictif pour l'instant.
Sur le LAN pour l'instant tout passe, je vois mes NAS sur le réseau, etc (normal!).

Mais quand j'édite la règle du LAN pour utiliser le groupe de passerelles créé (LOADBAL) et que je change la passerelle par défaut (WANGW) en la mettant vers LOADBAL, je ne vois plus rien sur le réseau local. J'ai toujours accès à l’extérieur mais rien sur le local. Les NAS ont disparu.

Qu'est ce que j'ai fait de pas bien, ou qu'est ce que j'ai oublié ou pas compris ??
Merci pour votre aide!!
Philippe

[EDIT] Problème résolu. Le problème venait du fait que les box (orange et bbox) sont en IP privées pour le pfsense. Quelques réglages DNS et tout fonctionne!
Merci pour votre aide. Bon week end

chris4916

J'avoue ne pas comprendre le problème que tu décris.
Sur le LAN, tu ne passe pas, dans ce que je comprends de la description de ton environnement, par le FW lorsque d'un PC tu accèdes à un NAS.
Donc il n'y a pas de raison que ceux-ci "disparaissent", quelles que soient les règles de FW.
Au pire, tu pourrais bloquer l'accès au DNS et donc ne plus résoudre le nom de tes NAS, mais ils ne disparaissent pas pour autant.
Peux-tu partager a règle de FW que tu mets en place sur l'interface LAN pour activer le load balancing ?

ccnet

Je ne comprend pas non plus.

sauvegardé en FTP

A proscrire.

paddaone

Merci pour vos réponses.
@ccnet Pourquoi à proscrire? Serveur sous Debian et Plesk Obsidian. Plesk gère la sauvegarde. La technique pour sauvegarder n'est pas le problème.
@chris4916 Je n'ai pas de règles pour le LAN, je laisse tout passer mais si je mets que la passerelle est en fait le groupe de passerelle créé pour le dual wan, là je perds le LAN Je sors toujours et je suis vraiment en dual wan mais je n'accède plus aux machines sur le LAN...

Pas logique tout ça.

ccnet

FTP est un protocole ancien, ce qui n'est pas nécessairement une tare de façon générale mais c'est la cas ici.
FTP échange les données en clair sur le réseau, y compris les données d'authentification. L'authentification est par ailleurs faible (login et mot de passe).
Son fonctionnement le rend très mal commode à filter proprement.
Dans vos données sauvegardées vous pouvez avoir des DCP. L’absence de mesure de protection est contraire au RGPD (Art 32). La mise en oeuvre d'une protection, par principe et par construction, sont des exigences de la loi.

paddaone

@ccnet Merci pour cette réponse. Je suis bien conscient du problème de la sécurisation des échanges entre ce serveur et le NAS. Cependant PLESK ne propose pas grand chose d'autre pour sauvegarder le serveur donc pour l'instant on va faire avec ce qu'on a. FTPS à implémenter dans une phase ultérieure. D'autre part et étant débutant disons "éclairé" (en très gros et un peu de dérision, ça fonctionne quand même! J'ai un LAN, deux connexions WAN, du wifi - mes appliances (netatmo, nest, hue, somfy, caméras, etc sont accessibles...), j'essaie d'adresser les problèmes en fonction :
1- de l'ordre des priorités - a) le load balancing ne fonctionne pas car si LB sélectionné sur chaque règle LAN, je perds accès au LAN et b) le serveur n'arrive pas à voir le contenu du NAS - j'ai bien une connexion FTP au NAS mais le serveur n'arrive pas à voir répertoires et fichiers sur NAS et plante donc la sauvegarde. Le pare feu n'a pas l'air de bloquer selon les logs donc problème se trouve sans doute ailleurs mais je ne sais où car ça fonctionnait avec le routeur ASUS. Le seul changement effectué se trouve dans le remplacement de l'ASUS par le Pfsense, rien n'a été fait sur le serveur (même IP de destination pour NAS, même info de connexion, etc.).
2- j'ai besoin de revenir à une configuration opérationnelle très rapidement car sauvegardes pas faites, pas de connexion au réseau depuis l'extérieur (OPENVPN à mettre en route, etc.)

Voila! Désolé pour cette réponse qui peut paraître dismissive de la votre...

jdh

En complément de la réponse (toujours) précise de ccnet ...

Il est préférable d'utiliser SFTP (basé sur ssh) plutôt que FTPS (basé sur FTP et avec TLS/SSL). En particulier SFTP n'utilise qu'un seul port contre un système (affreux et obsolète) de 'mode actif/mode passif' avec changement de port (qui nécessite un addon dans la tâche de firewall).

Exemple : pfSense a banni FTP depuis déjà longtemps (il existe cependant un package pour ceux qui ne veulent pas changer ...). C'est l'origine de votre incapacité à sauvegarder ... (pas de package = pas de FTP)

Il est assez aisé de créer un serveur SFTP avec une simple Debian et Proftpd : ce logiciel peut faire serveur FTP mais aussi serveur SFTP, voire avec des users virtuels (base Mysql par exemple). (assez aisé = difficulté moyenne). L'intérêt est que les logiciels (client) de FTP sont aussi capables de faire du SFTP (ex Filezilla ou WinScp).

NB : un autre proto de sauvegarde efficace (et standard) : rsync. (de plus sécurisable par l'utilisation de ssh.)

paddaone

Merci pour cette réponse encore plus précise!
ET où se trouverait ce merveilleux paquet qui permet de faire du FTP sur une plate forme qui n'en fait pas (pas de package... pas de FTP...)?
Pour la sécurisation, je vais la faire new yorkaise... You can have what's on the menu, if not, move to LA! Dans le menu plesk il y a FTP et à la limite FTPS donc on fait avec ce qu'on a. J'ai besoin de faire une sauvegarde ce soir.
Sinon, peut on revenir au sujet évoqué dans le titre qui est 'problème de configuration load balancing"? Désolé, j'ai peu de neurones à disposition! Une chose à la fois... Promis je reviendrai avec le problème du FTP (et d'autres!!!)

chris4916

Il y a un vrai problème de compréhension, de ma part, de ta configuration et donc du problème que tu décris.
Un poste sur le LAN ne devrait, sauf si tu as oublié de décrire quelque chose d'essentiel, en aucun cas passer par le firewall lorsque ce poste communique avec un autre équipement sur le LAN.
Donc je ne vois pas comment des règles de FW pourraient avoir un effet sur la manière dont cette communication s'établit, à part, comme je l'ai déjà expliqué, si tu t'appuies sur des services de type DNS qui serait supporté par pfSense.
Mais dans ce cas, "perdre le LAN" (je ne sais pas ce que ça veut dire)ne serait qu'un problème de résolution de nom facilement identifiable.

Pourrais-tu essayer de:
-> décrire à nouveau ta configuration afin qu'on comprenne mieux ce qui fait que tu passes par pfSense
-> qualifier un peu mieux ce que tu entands par "perdre le LAN"

chris4916

et en relisant l'historique de ce fil, j'ai l'impression, vu que tu décris un flux venant d'internet (connexion d'un serveur depuis internet vers un NAS sur le LAN), que ta problématique n'est pas la communication des machines entre elles sur le LAN mais ce flux internet -> LAN.
Peut-être me trompe-je car ce n'est réellement décrit nulle part :-(

paddaone

Bonjour et merci pour cette réponse. Je vais essayer d'être plus clair. Difficile quand on a le nez dedans.
Donc un petit dessin pour jeter la base :

2 box internet arrivent sur mon routeur pfsense dédié (pas une VM). ELles sont toutes les deux en IP publique fixe. Disons 80.x.x.x et 196.x.x.x.
Dans les box, ça sort en 192.168.6.1 pour orange et 192.168.5.1 pour BBOX.
Le pfsense a 2 connexions WAN (WAN1 en 192.168.6.2 et WAN2 en 192.168.5.2)
Le LAN derrière est en 192.168.20.1/24 avec DHCP activé.
Les 2 passerelles sont regroupées dans un groupe appelé LOAD_BALANCING avec une priorité à 1 pour les 2 passerelles.
J'ai créé une règle sur le LAN autorisant tout (juste pour voir...les choses importantes du réseau sont protégées) donc LAN NET avec plein d'étoiles. Connecté au LAN avec ma petite machine, je peux accéder aux autres machines du LAN et en particulier les 2 NAS qui sont en IP fixe (192.168.20.30 et 20.35).
Problème 1 : dans cette règle LAN, si je clique sur "options avancées" et je mets tout en bas d'utiliser la la passerelle "LOAD_BALANCING", je perds le LAN c'est à dire que je ne vois plus les machines du LAN et n'y ai pas accès. Connexion vers l’extérieur est toujours ok. Si je remets la passerelle par défaut, alors je "revois" le LAN et ses machines. Comme toi je ne comprends pas pourquoi, le LAN ne devrait pas être affecté par la règle... Mystery!!!
Problème 2 Effectivement le serveur distant se connecte tous les soirs aux NAS pour être sauvegardé. Qu'on utilise FTP, FTPS, SFTP ou autre, le problème est qu'il se connecte au NAS (je vois sur le NAS une connexion passer) mais ne peut pas afficher la liste des fichiers et répertoires sur les NAS donc mouline pendant un gros bout de temps puis plante la sauvegarde planifiée. J'ai du indiquer plus tôt que je ne suis pas sûr pas que ça soit un problème pfsense car NAT créé sur les box pointant vers le pfsense puis nat sur pfsense pointant sur NAS. Par contre ça marchait avec le ASUS; rien changé sur le serveur (gardé la même IP du réseau, etc.) juste débranché le ASUS pour mettre le pfsense.
Donc là, gros "?" mais comme plus haut pas certain que ça soit la faute de pfsense. Je ne sais pas.
Si je pouvais déjà faire marcher le LB avec un LAN fonctionnel, ça serait une belle victoire pour moi.
Hier soir débranché les NAS pour les remettre sur l'ancien routeur ASUS et branché une des connexions WAN du pfsense sur le ASUS pour avoir une sauvegarde effective (qui a par ailleurs bien fonctionné!!).
Voila j'espère avoir été clair.

jdh

@paddaone said in Problème de configuration load balancing:

ET où se trouverait ce merveilleux paquet qui permet de faire du FTP sur une plate forme qui n'en fait pas (pas de package... pas de FTP...)?

Moi, je chercherai dans la liste des packages disponibles ... (Je ne peux vérifier : je n'ai plus de pfsense sous la main !) (Attention le terme 'proxy' est utilisé à tort à la place de 'helper' qui correspond au job que dois faire le firewall pour être 'aidé' à suivre la connexion ...)

paddaone

Trouvé! Merci pour l'info. Vais essayer ça...

paddaone

Hahaha (petite danse de la victoire mais toute petite victoire!!)
Pas installé le FTP proxy (désolé visiblement pfsense sait faire du FTP comme un grand). Passé de passif à actif sur le serveur distant et il sauvegarde sur le NAS local!
Par contre, je ne comprends pas pourquoi ça marche...

1. Avant (sur routeur ASUS) la sauvegarde se faisait sur WAN2 (connexion BBOX)
   Là impossible de faire la sauvegarde via le WAN2. La sauvegarde ne fonctionne QUE sur WAN1 (orange).
2. J'ai pourtant ouvert les ports (49152-65535) du FTP passif sur le pfsense en redirigeant vers le NAS1. Le serveur ne voit pas le NAS1 mais si je passe en actif, là ça passe.
   La seule règle pour le FTP est IP_SERVEUR DISTANT / TOUT > IP_LOCALE_NAS / sur WAN1 et WAN2.
3. la configuration WAN1 et WAN2 est identique. Les règles sont exactement les mêmes, dans le même ordre. Même les séparateurs sont de la même couleur!! Donc pourquoi OK sur WAN1 avec actif et pas OK sur WAN2 avec actif???
   Qu'est ce que j'ai loupé???

jdh

Voyez comment ce (très) vieux protocole FTP est obsolète :

• port initial 21/tcp
• canal de retour : 20/tcp
• selon le mode choisi, changement de port pour poursuivre la communication

et il faudrait que le firewall soit capable de suivre la session (avec ces changements de ports) ? D'où la mise en oeuvre de 'helper' qui analyse exactement à l'intérieur de la session les échanges et en déduisent l'ouverture des ports utiles. (Et sans compter que les infos échangés ne peuvent tenir compte de l'ip interne, because NAT ...)

et il faudrait créer des règles d'ouvertures de ports pour faire fonctionner un client par anticipation : c'est la méthode de firewal avant le 'statefull', bref 20 ans en arrière ...

Il est temps de passer à autre chose ...
J'ai déjà indiqué un protocole adapté à la sauvegarde et adapté à la vitesse (rsync) : mes NAS QNAP supportent ce protocole bien évidemment, mais Synology doit aussi le faire ...)

chris4916

Merci pour le schéma.
Je ne comprends toujours rien et persiste à dire que si ton infrastructure correspond vraiment à ton schéma, alors hormis pour les services tels que DNS ou DHCP qui pourraient êtres servis par pfSense, les règles de FW sur l'interface LAN n'ont absolument aucun impact sur les flux de communication entre les devices connectés au LAN.
D'ailleurs, tu pourrais très bien débrancher pfSense que ça aurait exactement le même effet.

baalserv

Bonsoir,

Après lecture du fil, je vais apporter quelques infos d'ordre "disons" général ...

• Modifier la règle d'origine du lan en remplaçant SEULEMENT la gateway ne PEUT PAS fonctionner correctement (tous les protocoles ne supportent pas le LB).
• Quand on veut faire du LB il faut obligatoirement un pool de GW en FO à affecter aux règles correspondantes au protocoles qui ne supporte pas le LB.
• Il vous faut aussi vous intéresser à l'option ''Stiky connections''
• Il faut également s'interroger sur comment gérer les DNS, nous ne savons pas si vous disposer un serveur Dns interne (ex: AD ou autre), préciser à pf quel dns utiliser pour chaque wan comme vous l'avez fait est une bonne chose.
• Pour finir quand à Dns, il est largement préférable de s’orienter vers une config de type "dns split horizon" que vers du "Nat reflexion"

Cordialement

P.S : question sécurités et diffusion de données de navigations : utiliser les dns de google comme monitoring de GW est déja limite mais utiliser google pour de la résolution dns est totalement à proscrire ... ; utiliser google comme moteur de recherche est également à bannir, startpage vous donnera exactement les même résultats et même réponse sans les inconvénients.
P.S 2 : un utilisateur sa se dresse à coup de fouet ^^ ... accompagner de proposition et d'un baume apaisant :)
P.S 3: Si vôtre outils de sauvegarde du serveur distant ne sait faire aisément que du ftp, alors faite passer le flux dans un vpn ... ^^

paddaone

Merci à tous pour ces réponses et participation!
@jdh OUI j'ai compris qu'il y a des options pour sauvegarder mon serveur distant mais je suis venu pour parler de load balancing. FTP hors sujet. Je sais qu'il y a d'autres solutions mais pour l'instant, c'est comme ça et pas autrement. Une chose à la fois!
@chris4916 Désolé de ne pas être suffisamment clair. Je n'ai qu'1 seule et unique règle sur le LAN et c'est "LAISSE TOUT PASSER". Mais quand je lui dis à cette seule règle du LAN d'utiliser le load balancing, y a plus LAN. Pourtant sans le LB je navigue toutes les machines du LAN sans problèmes. Pourquoi? Sais pas...
@baalserv merci pour cette réponse mais j'ai un peu de mal...Tous les protocoles ne supportent pas LB. Enfin bon TCP IPv4 doit le faire non?
Pool de GW en "FO"? C'est quoi FO? Arlette n'est plus...
J'ai activé sticky connections, j'en ai compris à peu près le concept mais ça doit entraîner d'autres choses... lesquelles? A suivre!
DNS doit d'une manière ou une autre être la source du problème. Je rame sur le DNS resolver en essayant de comprendre ses paramètres. A suivre aussi!
Bonne soirée à tous!

chris4916

Il n'y a pas de pire sourd que celui qui ne veut pas entendre.
"perdre le LAN" ne signifie absolument rien. Comment le retrouves-tu ? une fois que tu as "perdu le LAN", tu ne peux plus te connecter à pfSense n'est-ce pas ? Ni accéder à internet puisque depuis ton PC, l'accès internet passe par le LAN que tu as "perdu"

Si tu ne fais pas l'effort d'être plus précis, ne serait-ce que dans ta propre compréhension, ta route va être longue et difficile.

Il semble, mais ce n'est qu'une hypothèse, que pour toi, perdre le LAN, c'est perdre la possibilité d'adresser une machine du LAN à partir de son hostname. Ta machine reste accessible au travers de son adresse IP. Tu n'aurais donc rien perdu sauf le service DNS.

Dans le cas contraire, alors ton infrastructure n'est pas du tout celle que tu décris.
C'est aussi simple que ça.

paddaone

OK.
"Perdre le LAN" veut dire que je n'accède plus aux machines du LAN (NAS et autres) via leur IP quand je mets que cette règle LAN (* * * *) doit utiliser le groupe de passerelles LOAD BALANCING.
Sur le LAN je n'utilise que les IP:PORT pour y accéder. Pas de hostname donc le NAS par exemple est accessible à https://192.xxx.xx.xx:5001.
Je ne perds pas le pfsense car j'ai une règle anti lock out sur le port du pfsense mais les autres machines ne sont plus accessibles (mieux que perdues???).
Est ce plus clair et ai je bien compris ce qui se passe chez moi?
Patience you must have my young padawan (Master Yoda)