Utiliser deux connexions sur un même reseau ?



  • Bonjour,

    Je dispose sur mon réseau de deux lignes de sortie internet, une à 1Mb/s symétrique et l'autre à 2Mb/s symétrique. Je souhaite mettre un pfsense entre ces lignes et le réseau pour servir de firewall, proxy, gestion failover et répartir le trafic sur les lignes en fonction du port utilisé.

    J'ai déjà fait de nombreux tests. J'utilise pfsense 2.0 RC3, j'ai une interface LAN, WAN et WAN2. le trafic passe sans problème de LAN vers WAN, et sort sur internet par la passerelle de WAN. Lorsque je change la passerelle dans les règles du firewall pour utilisé la passerelle de WAN2, rien de sort du pf (ni sur WAN, ni sur WAN2).
    Les deux passerelles sont sur le même réseau, je me demande donc si le problème de viens pas de là. J'aimerais savoir si le problème viens effectivement de là, je suis en phase de test et ne peux pas séparé les deux passerelles du réseau pour l'instant.

    Un petit schéma pour que ce soit plus claire:

    ligne 1Mb/s (172.31.0.254/23)–|                                     |--(172.31.0.15/23) WAN---|
                                              |---réseau 172.31.0.0/23---|            pfsense               |LAN (192.168.1.1/24)--réseau 192.168.1.0/24
    ligne 2Mb/s (172.31.0.253/23)--|                                     |--(172.31.0.16/23) WAN2-

    Je donnerais le détail de la configuration que j'ai faite si vous me dites que c'est tout a fait possible avec pfsense car dans ce cas la, le problème viendrai de moi ^^'.
    J'ai aussi essayé de n’utiliser qu'une seule interface WAN, avec les deux passerelles sur WAN et de changer la passerelle dans les règles de firewall. Le résultat a été le même qu'avec deux interfaces (et pas de failover au niveau des cartes réseau de la machine du coup).

    Merci à vous.



  • J'ai déjà fait de nombreux tests. J'utilise pfsense 2.0 RC3, j'ai une interface LAN, WAN et WAN2. le trafic passe sans problème de LAN vers WAN, et sort sur internet par la passerelle de WAN. Lorsque je change la passerelle dans les règles du firewall pour utilisé la passerelle de WAN2, rien de sort du pf (ni sur WAN, ni sur WAN2).

    Pouvez vous poster les copies d'écran des configurations des interfaces wan et wan2 ?
    Que signifie "Rien ne sort" ? Quels tests réalisés pour établir ce constat ?
    Que disent les logs, les avez vois activé pour voir ce qu'il se passe ?



  • Bonjour,

    J'ai refait une installation du pfsense (une X éme fois), pour être sur que tout soit propre.
    Je poste quelques captures d’écran pour clarifier tout ça, comme demandé.

    Quand je dit que rien ne sortais de WAN2, je voulais dire qu’après analyse avec wireshark du fichier récupéré avec l’outil "packet capture", l'interface n'envoyais aucune trames (mais reçois bien les broadcast).

    J'ai peut être identifié une partie du problème. dans les log system, on retrouve "kernel: arpresolve: can't allocate llinfo for 172.31.0.254" assez régulièrement. WAN2 reçoit des réponse de ping (echo (ping) reply) venant de sa passerelle (172.31.0.254). A noter que les echo request sont envoyés par l'interface WAN avec l'ip de WAN2  ???.
    Autre chose, si WAN est disable et que j'envoie un ping depuis la console coté 172.31.0.0, ping me retourne "no route to host".
    C'est comme si pfsense n'utilisais pas mon WAN2 (bon, c'est même carrément ça …).

    Si vous avez une solution, je suis preneur.

    Merci.

    ![interface WAN.JPG](/public/imported_attachments/1/interface WAN.JPG)
    ![interface WAN.JPG_thumb](/public/imported_attachments/1/interface WAN.JPG_thumb)
    ![interface WAN2.JPG](/public/imported_attachments/1/interface WAN2.JPG)
    ![interface WAN2.JPG_thumb](/public/imported_attachments/1/interface WAN2.JPG_thumb)
    ![gateway groups.JPG](/public/imported_attachments/1/gateway groups.JPG)
    ![gateway groups.JPG_thumb](/public/imported_attachments/1/gateway groups.JPG_thumb)



  • Salut,

    As tu testé de mettre la même priorité sur le groupe par exemple mettre tier1 pour wan 1 et tier 2 pour wan2.
    Également je ne comprends pas pourquoi tu as créé 2 groupes pour les gateway un seul devrait suffire. Il devrait utiliser par défaut wan1 puis wan2 si wan1 tombe.

    Voila





  • Avec vos masques en /23 êtes vous certain que toutes les machines sont bien sur le même réseau ?



  • Tuxy3448:
    Les mêmes priorité, ce serais pas plutôt tier 1 pour WAN et tier 1 pour WAN2 ? ^^'
    bref, ce n'est pas vraiment du load-balancing que je veux faire mais de la redirection en fonction du protocole/port pour utilisé l'une ou l'autre des passerelles (dans l'exemple de rules de mon ancien post, tout le traffic TCP aurait dût aller sur WAN2 et le reste sur WAN). C'est pour ça que j'ai deux groupes de passerelles, le traffic qui va sur WAN doit pouvoir aller sur WAN2 en cas de problème et inversement. (sauf erreur de ma part, mais je crois avoir compris à peu prés le fonctionnement de pfsense pour ce genre de chose).

    ccnet:
    J'ai déjà parcourus ce topic, le problème venais des VLAN ici. Je n'ai pas de VLAN sur mon réseau, le problème n'a pas l'air similaire.
    Le réseau est en fonctionnement depuis un peu plus d'un an et je me familiarise avec depuis quelques mois, le masque en /23 m'a dérouté au début mais non, pas de problème à ce niveau.

    Il y a peu être (surement) un problème au niveau des routes en fait. J'ai fait des screen, d'abord après un reboot normal, on vois que l'interface xl0 n'apparais pas (WAN2). Si WAN est disable et que pf reboot, les route changent et msk0 (WAN) est remplacé par xl0 et tout le traffic passe bien par ma deuxième passerelle (et les groupes de gateways fonctionnes bien aussi). Je pense que pf definit dynamiquement des routes au démarrage, en fonction de ses interfaces et des réseau à portés. On peu ajouter statiquement des routes avec l'interface php(system/routing/routes) mais pas plusieurs routes pour un même réseau.
    Je vais continué à chercher un peu de ce coté là, si vous croyez avoir une solution à ça, je veux bien la tester. Sinon, je séparerais les passerelles lors de la mise en production du pf, mais faudra pas d'autres problèmes du genre  ;D.

    ![reboot WAN enable-routes.JPG](/public/imported_attachments/1/reboot WAN enable-routes.JPG)
    ![reboot WAN enable-routes.JPG_thumb](/public/imported_attachments/1/reboot WAN enable-routes.JPG_thumb)
    ![reboot WAN enable-gateways.JPG](/public/imported_attachments/1/reboot WAN enable-gateways.JPG)
    ![reboot WAN enable-gateways.JPG_thumb](/public/imported_attachments/1/reboot WAN enable-gateways.JPG_thumb)
    ![reboot WAN disable-routes.JPG](/public/imported_attachments/1/reboot WAN disable-routes.JPG)
    ![reboot WAN disable-routes.JPG_thumb](/public/imported_attachments/1/reboot WAN disable-routes.JPG_thumb)
    ![reboot WAN disable-gateways.JPG](/public/imported_attachments/1/reboot WAN disable-gateways.JPG)
    ![reboot WAN disable-gateways.JPG_thumb](/public/imported_attachments/1/reboot WAN disable-gateways.JPG_thumb)



  • Ok oui c'est plus clair. ;D
    J'ai fait également quelques test de mon cote avec une configuration, certes différentes, en double wan mais en load balancing, mais le wan 2 n'a pas l'air de prendre le relais lorsque le wan 1 tombe. Peut être un bug de la pfsense 2 RC3, rien ne sort et j'ai exactement le même message que toi "no routes to host". Je vais faire des tests plus poussé de mon côté.

    Ah aussi attention j'ai remarqué que la page System -> Gateway semble avoir du mal à s'actualiser donc je penses qu'il faut éviter de trop s'y fier.



  • Bon, je suis tombé la dessus par hasard, j'ai pas le temps de regarder pour l'instant, je verrais plus tard. Mais ça peux aider d'autres s'ils ont le même problème.



  • Ok le loadbalancing à l'air de fonctionner.

    Attention pour ceux qui utilisent sur une des Wan, une freebox en mode modem, il faut savoir qu'on ne peut pas pinger la passerelle donc la freebox ( ....254)

    il faut donc bien penser à ajouter une "IP alternative monitor" sinon la freebox sera vu online puis passera très rapidement en offline.

    Sinon il y a la possibilité de mettre la freebox en mode routeur et donc pouvoir pinguer la freebox mais apparemment cela pose certains problèmes.

    Je retire donc ce que j'ai dit sur le statut monitor des gateway, il fonctionne bien maintenant qu'il arrive à pinguer quelque chose  ;D :o


Log in to reply