Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense in HA Wan multipla, LAN multipla e IP pubblici

    Scheduled Pinned Locked Moved Italiano
    17 Posts 4 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • kiokomanK
      kiokoman LAYER 8
      last edited by

      sinceramente non ci ho capito granchè e credo che neanche lui lo sappia di preciso o non ha capito la domanda
      a guardare lo schema li sopra sull'immagine sono specificati indirizzi ip con subnet diverse su due nic diverse alla fine. ma poi se si utilizzano ip pubblici presumo che anche l'isp debba supportare/permettere il protocollo carp in qualche modo
      vediamo se ci risponde ancora altrimenti chiedo direttamente nella sezione inglese

      ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
      Please do not use chat/PM to ask for help
      we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
      Don't forget to Upvote with the 👍 button for any post you find to be helpful.

      1 Reply Last reply Reply Quote 1
      • M
        Milord
        last edited by

        Grazie.
        Intanto, per le necessarie prove devo ancora recuperare due schede di rete che mi mancano; nelle peggiori delle ipotesi provo ad inventare un paio di proxy/reverse proxy con Nginx da mettere tra Modem e PfSense, ma la vedo lunga, sempre che si possa fare.

        1 Reply Last reply Reply Quote 0
        • kiokomanK
          kiokoman LAYER 8
          last edited by kiokoman

          mi hanno risposto sull'altra discussione in inglese

          https://forum.netgate.com/topic/157770/pfsense-high-availability-exapand-existing-firewall-with-multi-wan-and-multi-ip/3?_=1603298501202

          in pratica da quello che ho capito usi i tre ip per il carp (wan1 wan2 e shared carp), il nat verso il carp è solo per i servizi direttamente configurati sul pfsense o subito dopo ma per il resto continui ad usare ip alias e a nattare su quelli

          ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
          Please do not use chat/PM to ask for help
          we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
          Don't forget to Upvote with the 👍 button for any post you find to be helpful.

          1 Reply Last reply Reply Quote 1
          • M
            Milord
            last edited by

            Dopo una pausa, dovuta ad altre attività, riprendo le prove su un ambiente virtuale.
            Un pezzo alla volta, magari riuscirò a mettere in piedi questo sistema.

            fabio.viganoF 1 Reply Last reply Reply Quote 0
            • fabio.viganoF
              fabio.vigano @Milord
              last edited by

              Ciao @Milord,
              La gestione è simile ad un singolo firewall.
              L'unica vera differenza è che di base ti servono 3 ip per ogni subnet: Uno per ogni firewall ed uno virtuale di tipo carp che diventa l'IP con cui le altre macchine dialogano con il cluster.
              Gli ip assegnati fisicamente al firewall servono solo per gestione, in outbound sengestiti male precludono l'aggiornamento di firmware e packages della macchina slave.
              Tutti gli ip aggiuntivi continui a registrarli come ip virtuali di tipo Alias
              Fai attenzione che ora avendo un ip virtuale di tipo carp che identifica il tuo cluster, in tutte le regole di Nat inbound ed outbound Devi far riferimento a quello e non all'interfaccia.
              Il Nat outbound è da impostare necessariamente in manual

              Ciao Fabio

              ===============================
              pfSenseItaly.com
              La risorsa italiana per pfSense

              Se il post o la risposta ti sono stati utili clicca su 👍

              M 1 Reply Last reply Reply Quote 1
              • M
                Milord @fabio.vigano
                last edited by Milord

                @fabio-vigano
                Grazie per il "chiaro charimento".
                Era quello che temevo, in questo modo credo, se ho capito bene, che dovrò ridefinire alcuni record DNS pubblici e spostare gli accessi ad alcuni servizi su altri IP delle subnet. Nella gestione dell'outbound, al momento impostato "ibrido" ho solo il server di posta, ma quello non mi preoccupa.

                fabio.viganoF 1 Reply Last reply Reply Quote 0
                • fabio.viganoF
                  fabio.vigano @Milord
                  last edited by

                  @Milord
                  Di solito in caso di migrazione da fw singolo a cluster noi manteniamo il vecchio IP asssegnato ad ogni subnet come IP CARP ed assegnamo alle interfacce fisiche IP nuovi.
                  E' un lavoro lungo e meticoloso da fare in ambiente non di produzione e quando hai finito ti porti la config in produzione senza troppi problemi. In alcuni casi effettuiamo le modifiche direttamente sul file di config XML e quando siamo pronti facciamo un restore della config in produzione.
                  Di queste migrazioni ne ho fatte parecchie, sono onerose in termini di tempo se hai configurazioni complesse.

                  Ciao

                  ===============================
                  pfSenseItaly.com
                  La risorsa italiana per pfSense

                  Se il post o la risposta ti sono stati utili clicca su 👍

                  M 1 Reply Last reply Reply Quote 1
                  • M
                    Milord @fabio.vigano
                    last edited by

                    @fabio-vigano
                    Ricapitolando con un esempio.
                    Subnet con indirizzi da 1 a 16
                    L'indirizzo 1 definito come CARP
                    L'indirizzo 2 fisso sul primo firewall svincolato da record DNS pubblici
                    L'indirizzo 3 fisso sul secondo firewall svincolato da record DNS pubblici
                    Gli indirizzi da 4 a 16 definiti come alias entrambi i firewall.
                    Corretto?

                    1 Reply Last reply Reply Quote 0
                    • fabio.viganoF
                      fabio.vigano
                      last edited by

                      Esatto

                      ===============================
                      pfSenseItaly.com
                      La risorsa italiana per pfSense

                      Se il post o la risposta ti sono stati utili clicca su 👍

                      M 1 Reply Last reply Reply Quote 1
                      • M
                        Milord @fabio.vigano
                        last edited by

                        @fabio-vigano
                        Grazie. Non mi resta altro da fare che augurarmi buon lavoro. :-)

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.