Conflit de CARP avec deux sous réseaux LAN sur le même WAN
-
Bonjour,
Je créé un autre fil pour mon problème car je ne peut plus éditer mon premier post
J'ai un réseau WAN xxx.xxx.xxx.0/24 via un fournisseur d'accès. Passerelle fourni par l'opérateur xxx.xxx.xxx.1. Routeur fourni par l'operateur xxx.xxx.xxx.2
J'ai ensuite deux sous réseaux LAN derrière des paires de pfsense 2.5.2 en HA.
Voir schéma. J'ai pris pour exemple un WAN en 88.88.88.0 / 24
EDIT : les IPs CARP sur le Pfsense 2.2 sont bien en BACKUP, pas en MASTERJ'ai deux paires de PFSENSE avec du HA/CARP sur chacune d'elle.
Tout fonctionne. Les connexions, les NAT, les HA. De l'extérieur, on peut accéder à tous les serveurs, et aux Pfsense via leurs IP WAN réelles ou virtuelles, etc ... que ce soit sur le réseau 1 ou 2.
Je peux pinger n'importe quelle machine à partir de n'importe quelle autre machine.Mais j'ai un blocage si j'essaye d'accéder à une IP WAN du NETWORK 2 depuis une machine du NETWORK 1 via une page web par exemple.
Si je désactive le CARP sur les PFSENSE du réseau 1
Source : (NETWORK 1) 192.168.10.101 => DEST : (NETWORK 2) https://88.88.88.21
Aucun problème. La page s'affiche.Si le CARP est actif sur les deux paires NETWORK 1 et NETWORK 2
Source : (NETWORK 1) 192.168.10.101 => DEST : (NETWORK 2) https://88.88.88.21
Impossible de se connecter.- La page ne s'affiche que partiellement au bout de longues secondes
- CARP plante et la connexion est coupée quelques secondes
- toutes les IP CARP du Pfsense 1 passent en INIT
- CARP m'indique que son Demotion Status est incorrect.
- Par contre, si je fais juste un PING, aucun problème.
Je ferme la page et la demande de connexion, tout rentre dans l'ordre au bout de quelques secondes mais j'ai un nouveau node pfsync dans le status CARP. A chaque tentative, un ou plusieurs node s'ajoute.
Il semble donc bien que ce soit un conflit entre les deux réseaux CARP.
Pourtant, j'ai bien des VHID différents et je force le pfsync peer sur le LAN avec une IP dédié pour éviter le multicast.Je n'arrive pas à corriger ce problème.
Si quelqu'un peut m'aider ?
Merci