Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    2 pfsense avec 2 isp pour un lan (avec du nat)

    Scheduled Pinned Locked Moved Français
    4 Posts 2 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      phb.fr
      last edited by

      Bonjour,

      Plus je lis de la documentation et des tutos sur pfsense et plus j'ai des doutes. Du coup je vous demande conseil.

      L'idee c'est de faire du RoundRobin sur des sites web avec un site accessible à la fois sur l'isp 1
      et sur l'isp2 et qui pointe vers la meme machine du lan. La contrainte c'est que j'aimerai ne pas avoir
      1 seul pfsense avec les 2 Wan mais 2 pfsense avec chacun 1 WAN

      Petit resumé voulu :

      ISP1 avec une ip public 213.X.X.X –-> 1 pfsense ----> LAN : 192.168.2.x
      ISP2 avec une ip public 194.X.X.X ---> 1 pfsense ----> LAN : 192.168.2.x

      j'ai cru comprendre que je pourrai faire du carp gateway (avec une vip en 192.168.2.1 ?)
      Pour les machines du "lan" dans le cas d'un isp defaillant pourra t'on sortir sur l'isp2
      (par defaut je voudrais 100% du traffic sur l'ISP1) mais ca ne peut pas etre du 100% failover
      puisque l'isp2 donc fonctionner en "entrée" pour le site web

      je sens que vous allez me dire que ma demande n'est pas coherente mais je me lance quand meme ;)

      Par avance merci

      1 Reply Last reply Reply Quote 0
      • J
        Juve
        last edited by

        Deja à la base, si on veut etre redondé, on choisira la solution ou les deux WAN arrivent sur chacun des pfsense pour obtenir un cluster à basculement automatique sans rupture de service.
        Ensuite il y a une autre contrainte, celle du routage, car dans votre design le serveur web aurait deux gateway par defaut (si vous ne source-NATé pas les paquets sortant sur le LAN avec l'adresse LAN de chaque pf)….il faudrait alors lui configurer la couche réseau pour que le trafic provenant d'une interface ressorte par cette interface (source routing)...ce qui peut etre très compliqué (ou infaisable) en fonction de l'OS.
        Avec la solution du cluster ayant deux WAN, votre site web n'a qu'une gateway par défaut...sachant que par défaut sur pfsense (FreeBSD) les paquets passant par une interface voient toujours leurs retour passer par cette même interface...cool non !
        Ensuite pour la répartition en sortie...à vous de jouer avec les pools d'équilibrage...là vous pourrez faire ce que vous voulez !

        1 Reply Last reply Reply Quote 0
        • P
          phb.fr
          last edited by

          Merci juve de m'avoir répondu aussi vite.

          Donc il faut "forcement" 3 pattes et donc 3 cartes réseaux et le tout doublé sur les 2 machines, je vois que nous sommes pas prêt a vivre dans un monde sans câble ;)

          Concernant le problème de GateWay je demandais si justement on ne pouvait pas faire en sorte d'avoir une virtual ip "gateway" commune sur les 2 pfsense qui elle serait sur le PC web ?

          En terme d'évolution, si demain je veux rajouter un 3ieme voir un 4ieme ISP ca va sous-entendre 4 cartes réseaux sur les 2 machines il arrivera a un moment on ca risque d'être un "Noeud de câble" sans parler que le tout avec des serveurs en 1 U ca risque d'être cher

          1 Reply Last reply Reply Quote 0
          • J
            Juve
            last edited by

            Deux choses,

            • Dans un cluster il faut égalementune interface de synchronisation des tables d'états entre les deux firewall (pfsync)
            • Une zone logique (ou interface) dans le firewall ne veut pas forcement dire une carte physique. En utilisant des VLAN taggés  (et donc un switch supportant les VLAN), avec deux cables et deux cartes Gigabit Ethernet vous pouvez avec un firewall avec 10 interfaces logiques sans aucun problème. Après, tout dépendra du débit de vos WAN…
            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.