Deux LAN derrière deux pfsense sur le même réseau WAN et un conflit TRES étrange
-
Bonjour,
J'ai une baie dans un DC avec un accès internet sur réseau WAN xxx.xxx.xxx.0/24 via un fournisseur d'accès. Passerelle fourni par l'opérateur xxx.xxx.xxx.1. Routeur fourni par l'operateur xxx.xxx.xxx.2
La fibre du fournisseur arrive sur un premier switch1 avec juste deux VLAN.
Un VLAN1 pour le WAN, et un VLAN2 pour le LAN1 192.168.10.0/24 de cette baie.
Entre les deux un premier pfsense1 en WAN xxx.xxx.xxx.10/24 et LAN 192.168.10.0/24.Sur le VLAN WAN du switch1, est connecté une fibre qui va dans une autre baie un autre bâtiment (toujours par fibre) sur un second switch2.
Sur ce switch2, un VLAN1 WAN reçoit la fibre.
Sur ce VLAN WAN est branché un pfsense2 en WAN xxx.xxx.xxx.20/24
Sur ce pfsense2, un LAN2 en 192.168.10.0/24 part vers un autre switch pour un autre réseau de machines.J'ai des IP virtuelles en CARP (pour futur HA) sur les deux pfsense1 et pfsense2.
Aucune collision entre des IPs.
IP WAN xxx.xxx.xxx.10/24 sur le pfsense1
IP virtuelle CARP xxx.xxx.xxx.11/24 sur le pfsense1
IP virtuelle CARP xxx.xxx.xxx.12/24 sur le pfsense1IP WAN xxx.xxx.xxx.20/24 sur le pfsense2
IP virtuelle CARP xxx.xxx.xxx.21/24 sur le pfsense2
IP virtuelle CARP xxx.xxx.xxx.22/24 sur le pfsense2Ma machine au bureau est en 192.168.10.200/24 derrière le pfsense2 sur le LAN2.
De l'extérieur (de chez moi, via ma box Orange), il est possible de se connecter sans incidence sur n'importe quelle IP du WAN, que ce soit derrière le pfsense 1 ou 2.
De ma machine au bureau, si je me connecte à une IP WAN de mon Pfsense2, tout va bien.
Mais si je tente depuis mon LAN2 de me connecter à une IP WAN de mon pfsense1, je perd la connexion sur mon LAN2 et mon status CARP ne sait plus ou il est.
J'ouvre un navigateur et je tente une connexion à mon pfsense1 en xxx.xxx.xxx.10 (interface d'admin en https sur le wan), ma connexion internet est bloquée sur TOUTES LES MACHINES DU LAN2. Je ferme la fenêtre, la connexion est rétablie en quelques secondes.
Quand je regarde le status CARP sur mon pfsense2, celui du LAN2 sur lequel je suis, il est passé en BACKUP pendant la coupure puis revient en MASTER rapidement dès que je coupe ma tentative de connexion au pfsense1.Je ne comprend pas du tout ce qui peut se passer ?
Pouvez-vous m'aider ?Merci
-
Je récapitule
WAN
xxx.xxx.xxx.0/24PFSENSE1
WAN xxx.xxx.xxx.10/24
LAN 192.168.10.0/24
CARP WAN xxx.xxx.xxx.11/24
CARP WAN xxx.xxx.xxx.12/24PFSENSE2
WAN xxx.xxx.xxx.20/24
LAN 192.168.20.0/24
CARP WAN xxx.xxx.xxx.21/24
CARP WAN xxx.xxx.xxx.22/24Tentative de connexion correcte
Source externe : 82.83.83.83
Destination : xxx.xxx.xxx.10
OKTentative de connexion correcte
Source externe : 82.83.83.83
Destination : xxx.xxx.xxx.20
OKTentative de connexion correcte
Source : 192.168.20.20
Destination : xxx.xxx.xxx.20
OKTentative de connexion INCORRECTE
Source : 192.168.20.20
Destination : xxx.xxx.xxx.10
Perte de connexion sur tout le LAN 192.168.20.0/24
Rétablissement dès la fin de tentative de connexion -
(Manque de clarté, manque d'un schéma ...)
La doc donne un exemple de High Availability : https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html
Il est très clair que
- il ne peut y avoir 2 passerelles, pour un réseau LAN !
- si on met en oeuvre de la HA, on le fait sur les 2 interfaces WAN et LAN en même temps : je ne vois pas l'utilité d'avoir du CARP sur une seule interface !
Le principe du carp est, par réseau :
- machine 1 : une ip
- machine 2 : une ip
- une ip CARP qui bascule du Master au Slave en cas de non synchro.
cf le schéma de la doc.
-
This post is deleted! -
Le problème n'est pas réglé mais je dois faire plus de tests avant de demander de l'aide. Je ferme donc ce post avec cette règle générale : ne pas s'affoler, faire des tests en partant du plus bas et en isolant tous les nœuds possibles.
La base quoi ...
Je ferme donc ce thread en attendant d'avoir fait ma part du boulot.
Merci pour votre aide.