[RESOLU]Problème de route (Config complexe)



  • Bonjour, voici ma config :

    Tout fonctionne ! Le loadbalancing, le Failover et mes VPN !
    Mais …

    Voici mes questions pour les fortes têtes du forum :)

    Question 1 :

    Quand je suis sur le réseau 172.22.A.X/24 et que je tente de passer par le GW Carp (qui dispose d'une route static vers 172.22.Y.0/24 en passante par 172.22.A.250 (slave fw). Cela fonctionne (ping, page web …) Mais ssh ou tout autre connexion établie ce rompe après quelques seconde !!! ?? Pourquoi ?

    J'ai déjà u le problème sur une autre installe avec du TS configuration similaire : pfsense sur gw principale qui route une range vers un autre route .. fonctionne mais après quelques secondes la connexion est interrompu ....

    Question 2 :

    Concernant les VPN Mobile, je voudrais qu'il passe par la connexion WAN2 … Cependant sur le firewall master on dirait qu'il utilise l'interface WAN1(SDSL) pour répondre. N'y a-t'il pas un moyen pour résoudre le problème ?

    Car j'ai tester avec le WAN par défaut qui est mon SDSL et ça marche ! J'arrive à utilisé le VPN !
    Mais avec le WAN2 j'ai un log .... qui est assez explicite phase 1 retransmising packet faild to X.X.X.X.X[500] J'ai donc l'impression qui reçois ça demande VPN via WAN2 mais qu'il répond avec Wan1.

    Question 2bis: Quand je suis connecter aux VPN mobile avec un seul firewall pas de soucis pour joindre mes différents réseau interne (vpnp2p, Lan et voip)
    aujourd'hui quand j'active le VPN mobile sur mon WAN principale ça fonctionne mais j'arrive plus à joindre mon Voip ou mes autres réseaux !

    Dernier Question 3 :

    Quand je suis dans le réseau 172.22.Y.0/24 je n'arrive pas à joindre le réseau 172.22.B.0/24 mais l'inverse sans problème !
    J'imagine que c'est un soucis de route … quelqu'un à une idée ?

    Merci pour vos réponses,
    Sdnatcher



  • Concernant la Question 1 :

    Quand je suis sur le réseau 172.22.A.X/24 et que je tente de passer par le GW Carp (qui dispose d'une route static vers 172.22.Y.0/24 en passante par 172.22.A.250 (slave fw). Cela fonctionne (ping, page web …) Mais ssh ou tout autre connexion établie ce rompe après quelques seconde !!! ?? Pourquoi ?

    J'ai déjà u le problème sur une autre installe avec du TS configuration similaire : pfsense sur gw principale qui route une range vers un autre route .. fonctionne mais après quelques secondes la connexion est interrompu ....

    En ajoutant une NATOut. du réseau 172.22.Y.X/24 vers le 172.22.A.X/24 cela fonctionne j'arrive à joindre mon réseau 172.22.B.X/24.. mais une NAT m'arrange pas car pour de la Voip cela cause de vrai problème ....

    Concernant le prb. de blocage de connexion établi après quelques secondes, voici quelque info :

    Quand je suis sur le réseau 172.22.A.0/24 et que j'utilise mon défault GW 172.22.A.254 pour joindre mon serveur voip 172.22.Y.10 une connexion SSH est rompu après quelques seconde. Sur mon 172.22.A.254 il y a bien une route static pour 172.22.Y.0/24 via 172.22.A.250 (slave).

    Alors c'est curieux : Quand j'ajoute une route static sur mon poste client afin de ne pas passer par mon défault GW 172.22.A.254 mais directement vers Le SLAVE 172.22.A.250. Cela fonctionne sans aucun problème.

    Cela signifie que le problème ce situe vraiment dans le routage, j'ai déjà u ce problème dans le passer mais j'arrive pas à le résoudre mais juste à le contourné !!! ? Quelqu'un est au courant d'un bug ou autre à ce niveau ?

    Merci



  • Lorsqu'une connexion à état (SSH/TCP par exemple) se coupe au bout de quelques secondes c'est que le moteur stateful de PF a détecté une incohérence d'état. Dans 99,99% des cas, il s'agit d'un d'un problème de routage asymétrique, il y a un des sens du flux (aller ou retour) qui ne passe pas par PF.



  • Merci pour ta réponse,

    hier soir, j'ai changer ma config :
    Je travail avec deux ALIX 3 ethernet.

    Pour essayer, j'ai brancher un carte Ether/USB, détecter sans aucun problème, j'ai assigner une ip sur le VOIP et j'ai crée un CARP IP pour la VOIP.  J'ai reboot et bigo tout fonctionne !

    Je fais juste attention que les règles liée à ma connexion qui n'apparait pas sur mon "SLAVE" ne soit pas synchroniser !

    Certain ce demanderons pourquoi j'ai placer les VPN P2P sur la connexion DSL et non sur le CARP SDSL ?
    évidement c'est le but mais aujourd'hui, cette connexion SDSL à trop de perturbation (j'ai des micro coupure).
    Après avoir passer du temps avec un support qui m'explique qu'il y a rien d'anormale ! 
    J'ai préférer ne plus l'utilise en état pour mes VPNs !


Locked