[RÉSOLU] Problème de configuration load balancing

jdh

@paddaone said in Problème de configuration load balancing:

ET où se trouverait ce merveilleux paquet qui permet de faire du FTP sur une plate forme qui n'en fait pas (pas de package... pas de FTP...)?

Moi, je chercherai dans la liste des packages disponibles ... (Je ne peux vérifier : je n'ai plus de pfsense sous la main !) (Attention le terme 'proxy' est utilisé à tort à la place de 'helper' qui correspond au job que dois faire le firewall pour être 'aidé' à suivre la connexion ...)

paddaone

Trouvé! Merci pour l'info. Vais essayer ça...

paddaone

Hahaha (petite danse de la victoire mais toute petite victoire!!)
Pas installé le FTP proxy (désolé visiblement pfsense sait faire du FTP comme un grand). Passé de passif à actif sur le serveur distant et il sauvegarde sur le NAS local!
Par contre, je ne comprends pas pourquoi ça marche...

1. Avant (sur routeur ASUS) la sauvegarde se faisait sur WAN2 (connexion BBOX)
   Là impossible de faire la sauvegarde via le WAN2. La sauvegarde ne fonctionne QUE sur WAN1 (orange).
2. J'ai pourtant ouvert les ports (49152-65535) du FTP passif sur le pfsense en redirigeant vers le NAS1. Le serveur ne voit pas le NAS1 mais si je passe en actif, là ça passe.
   La seule règle pour le FTP est IP_SERVEUR DISTANT / TOUT > IP_LOCALE_NAS / sur WAN1 et WAN2.
3. la configuration WAN1 et WAN2 est identique. Les règles sont exactement les mêmes, dans le même ordre. Même les séparateurs sont de la même couleur!! Donc pourquoi OK sur WAN1 avec actif et pas OK sur WAN2 avec actif???
   Qu'est ce que j'ai loupé???

jdh

Voyez comment ce (très) vieux protocole FTP est obsolète :

• port initial 21/tcp
• canal de retour : 20/tcp
• selon le mode choisi, changement de port pour poursuivre la communication

et il faudrait que le firewall soit capable de suivre la session (avec ces changements de ports) ? D'où la mise en oeuvre de 'helper' qui analyse exactement à l'intérieur de la session les échanges et en déduisent l'ouverture des ports utiles. (Et sans compter que les infos échangés ne peuvent tenir compte de l'ip interne, because NAT ...)

et il faudrait créer des règles d'ouvertures de ports pour faire fonctionner un client par anticipation : c'est la méthode de firewal avant le 'statefull', bref 20 ans en arrière ...

Il est temps de passer à autre chose ...
J'ai déjà indiqué un protocole adapté à la sauvegarde et adapté à la vitesse (rsync) : mes NAS QNAP supportent ce protocole bien évidemment, mais Synology doit aussi le faire ...)

chris4916

Merci pour le schéma.
Je ne comprends toujours rien et persiste à dire que si ton infrastructure correspond vraiment à ton schéma, alors hormis pour les services tels que DNS ou DHCP qui pourraient êtres servis par pfSense, les règles de FW sur l'interface LAN n'ont absolument aucun impact sur les flux de communication entre les devices connectés au LAN.
D'ailleurs, tu pourrais très bien débrancher pfSense que ça aurait exactement le même effet.

baalserv

Bonsoir,

Après lecture du fil, je vais apporter quelques infos d'ordre "disons" général ...

• Modifier la règle d'origine du lan en remplaçant SEULEMENT la gateway ne PEUT PAS fonctionner correctement (tous les protocoles ne supportent pas le LB).
• Quand on veut faire du LB il faut obligatoirement un pool de GW en FO à affecter aux règles correspondantes au protocoles qui ne supporte pas le LB.
• Il vous faut aussi vous intéresser à l'option ''Stiky connections''
• Il faut également s'interroger sur comment gérer les DNS, nous ne savons pas si vous disposer un serveur Dns interne (ex: AD ou autre), préciser à pf quel dns utiliser pour chaque wan comme vous l'avez fait est une bonne chose.
• Pour finir quand à Dns, il est largement préférable de s’orienter vers une config de type "dns split horizon" que vers du "Nat reflexion"

Cordialement

P.S : question sécurités et diffusion de données de navigations : utiliser les dns de google comme monitoring de GW est déja limite mais utiliser google pour de la résolution dns est totalement à proscrire ... ; utiliser google comme moteur de recherche est également à bannir, startpage vous donnera exactement les même résultats et même réponse sans les inconvénients.
P.S 2 : un utilisateur sa se dresse à coup de fouet ^^ ... accompagner de proposition et d'un baume apaisant :)
P.S 3: Si vôtre outils de sauvegarde du serveur distant ne sait faire aisément que du ftp, alors faite passer le flux dans un vpn ... ^^

paddaone

Merci à tous pour ces réponses et participation!
@jdh OUI j'ai compris qu'il y a des options pour sauvegarder mon serveur distant mais je suis venu pour parler de load balancing. FTP hors sujet. Je sais qu'il y a d'autres solutions mais pour l'instant, c'est comme ça et pas autrement. Une chose à la fois!
@chris4916 Désolé de ne pas être suffisamment clair. Je n'ai qu'1 seule et unique règle sur le LAN et c'est "LAISSE TOUT PASSER". Mais quand je lui dis à cette seule règle du LAN d'utiliser le load balancing, y a plus LAN. Pourtant sans le LB je navigue toutes les machines du LAN sans problèmes. Pourquoi? Sais pas...
@baalserv merci pour cette réponse mais j'ai un peu de mal...Tous les protocoles ne supportent pas LB. Enfin bon TCP IPv4 doit le faire non?
Pool de GW en "FO"? C'est quoi FO? Arlette n'est plus...
J'ai activé sticky connections, j'en ai compris à peu près le concept mais ça doit entraîner d'autres choses... lesquelles? A suivre!
DNS doit d'une manière ou une autre être la source du problème. Je rame sur le DNS resolver en essayant de comprendre ses paramètres. A suivre aussi!
Bonne soirée à tous!

chris4916

Il n'y a pas de pire sourd que celui qui ne veut pas entendre.
"perdre le LAN" ne signifie absolument rien. Comment le retrouves-tu ? une fois que tu as "perdu le LAN", tu ne peux plus te connecter à pfSense n'est-ce pas ? Ni accéder à internet puisque depuis ton PC, l'accès internet passe par le LAN que tu as "perdu"

Si tu ne fais pas l'effort d'être plus précis, ne serait-ce que dans ta propre compréhension, ta route va être longue et difficile.

Il semble, mais ce n'est qu'une hypothèse, que pour toi, perdre le LAN, c'est perdre la possibilité d'adresser une machine du LAN à partir de son hostname. Ta machine reste accessible au travers de son adresse IP. Tu n'aurais donc rien perdu sauf le service DNS.

Dans le cas contraire, alors ton infrastructure n'est pas du tout celle que tu décris.
C'est aussi simple que ça.

paddaone

OK.
"Perdre le LAN" veut dire que je n'accède plus aux machines du LAN (NAS et autres) via leur IP quand je mets que cette règle LAN (* * * *) doit utiliser le groupe de passerelles LOAD BALANCING.
Sur le LAN je n'utilise que les IP:PORT pour y accéder. Pas de hostname donc le NAS par exemple est accessible à https://192.xxx.xx.xx:5001.
Je ne perds pas le pfsense car j'ai une règle anti lock out sur le port du pfsense mais les autres machines ne sont plus accessibles (mieux que perdues???).
Est ce plus clair et ai je bien compris ce qui se passe chez moi?
Patience you must have my young padawan (Master Yoda)

chris4916

Alors fait toi plaisir: débranche l'interface LAN de ton boitier pfSense.
Si le schéma est vraiment celui que tu as dessiné un peu plus haut, avec ou sans pfSense, l'accès au LAN fonctionne de la même manière.
Et heureusement d'ailleurs.

A moins que, encore une fois, ton réseau ne soit pas ce que tu décris

Partage donc avec nous un ipconfig ou ifconfig d'un poste de travail, selon l'Os de ta machine.
Et la même chose pour un de tes NAS.
Si ces machines se partagent le même subnet, sont connectées au même switch, alors pfSense ou pas, ça marche.

Et ta règle anti-lockout ne sert strictement à rien dans ce cas. Ce n'est pas elle qui te permet l'accès à l'interface LAN de pfSense.

Ton réseau N'EST PAS ce que tu décris.