Problème avec IPFailover chez Online



  • Bonjour,

    J'utilise une Pfsense pour protéger un réseau virtuel hébergé chez Online.
    J'ai une ip failover sur l'interface WAN qui fonctionne convenablement.
    J'ai acquis deux autres ipfailovers mais je ne vois pas comment les configurer car chez Online une ip failover = une mac.

    Auriez-vous des idées ?
    Merci,
    Yannick



  • Configurer quoi ? Pour quel résultat attendu ?



  • Configurer les autres ipfailover pour publier des services sur celles-ci



  • S'agissant de Pfsense cela n'a de sens que si vous avez un cluster avec au moins deux machines. Pour le reste ce n'est plus un sujet relatif à Pfsense. Vous avez monté un cluster ?



  • Non, il ne s'agit pas de faire du cluster pour le moment.
    Chez Online (tout comme chez OVH), les IP FAILOVER sont des ip additionnelles. Cependant, chaque IP FAILOVER doit être affectée à une MAC généré par Online. Plusieurs IP ne peuvent pas être affectée à la même MAC et c'est bien là mon problème.

    Pour configurer la première IP, j'ai suivi le tuto ici : http://forum.online.net/index.php?/topic/1240-tuto-esxi-pfsense-comme-firewall/
    Cela fonctionne bien pour la première, mais pour les autres c'est bien plus problématique.

    La passerelle par défaut des IP FailOver reste la passerelle par défaut de la machine physique. Or, elles ne sont pas sur le même plan d'adressage. En suivant le tuto ci-dessus, l'astuce consiste à ajouter manuellement une route indiquant qu'elle interface utiliser.

    Pour les autres IP Failover, j'ai donc ajouté des interfaces 'WAN' à ma PFsense.

    Or deux problèmes se posent alors :
    1. PFsense n'autorise que plusieurs interfaces disposent d'une même passerelle.
    2. Même si on arrive à déclarer plusieurs WAN vers la même passerelle, il va falloir gérer des tables de routages différentes pour chaque WAN. (Je sais que cela est possible sous Linux ou FreeBSD, mais j'ai lu que cela n'était pas pris en charge par PFSense).

    La solution semblerait donc celle-ci : http://magiksys.blogspot.be/2012/12/pfsense-bridge-gateway-vmware-ovh-ip.html
    c'est à dire de faire un bridge sur la PFsense et d'attribuer les IP Failover aux machines en DMZ.

    Qu'en pensez-vous ?
    Merci,
    Yannick



  • Je persiste à ne rien comprendre de l'objectif. Vous avez une seule machine physique, et en plus vous faite tourner pfsense sur un esx (?), ip failover ou pas, si votre machine est hs, il n'y a plus rien.

    Compte tenu de l’affectation des mac différentes pour chaque ip vous n'avez pas d'autre choix que de créer une interface pfsense par ip.



  • Oui, une seule machine physique à ce stade, utiliser comme hyperviseur et nous sommes d'accord, si elle tombe en panne, nous n'aurons plus rien et nous en sommes conscient. Nous ne sommes pas encore (et loin de l'être) en phase de mise en production.

    Donc pour reprendre : Nous disposons d'une machine physique sur lequel nous faisons tourner un Hyperviseur. Dans cet hyperviseur, nous avons un switch bridgé sur l'interface réseau de la machine physique et un second complètement virtuel. Un firewall PFsense doit assurer l'interconnexion entre ces deux réseaux. Jusque là il n'y a rien d'extraordinaire me semble-t-il ?

    La machine physique dispose de son adresse ip pour l'administration de l'hyperviseur, et nous sommes d'accord quand nous disons aussi que l'Hyperviseur n'est pas non plus protégé par la PFsense et quand terme de sécurité cela n'est pas viable.

    L'interface WAN "par défaut" de la PFsense est donc configurée tel qu'il est indiqué dans le premier tuto cité en référence de mon précédent post, avec une première ip failover, et cela fonctionne.
    Comme nous devons publier plusieurs services sur la PFsense, qui nécessite des adresses ip différentes, nous avons acquis d'autre ip failover.
    Chaque ip failover nécessitant une adresse MAC distincte, nous avons ajouté des interfaces 'WAN' supplémentaire à la PFSense.

    Or, selon le modèle de fonctionnement des ip failover, celles-ci doivent utiliser l'adresse de la passerelle du serveur physique comme passerelle par défaut. Cela pose donc un problème, puisqu'il faudrait que la PFsense dispose de 3 interfaces WAN, configurée avec des adresses IP différentes mais pointant la même passerelle, chose que PFsense n'autorise pas à ce jour. De plus, si la méthode de configuration de base répond au besoin avec une seule IP failover, elle n'est pas adaptée à une utilisation sur plusieurs. La route de retour vers la passerelle par défaut n'est pas identique en fonction de l'interface de destination initiale. C'est à dire : Un paquet qui arrive sur em3 doit repartir vers la paserelle par em3, non par em0. Cela suggère donc qu'il faut gérer le routage indépendamment pour chaque interface WAN.

    Est-ce plus clair ?



  • As tu trouvé une solution ?



  • J'ai posé une debian avec un IPROUTE2 configuré et de la nat 1:1 devant la PFSense.
    La debian gére la relation IPFAILOVER vers IP WAN de la pfsense. La Pfsense gére la sécurité.



  • Ca ne pose maintenant plus de problème car Online a apporté une évolution à son service.
    Il est desormais possible d'affecter plusieurs IP FAILOVER à la même adresse MAC. Bien que la passerelle ne soit pas sur le même réseau, ca fonctionne parfaitement.


Log in to reply