Failover et routes



  • Bonjour à tous,

    Je suis en train de faire des tests de Failover et je rencontre un problème. Ci dessous le schéma de mon environnement :

    - WAN1 (10.0.0.2) –-- LAN1 (10.0.0.1) -
    client (12.0.0.2) --- LAN (12.0.0.1) ---                                                              --- WAN1 (DHCP)
                                                              - WAN2 (11.0.0.2) ---- LAN2 (11.0.0.1) -

    Deux routeur multiwan de 3 interfaces sont utilisés. Le poste client ping bien tout le monde !

    Mon problème vient du fait que pour pinger "WAN1 (DHCP)" depuis le client, seul la route par defaut "WAN1 (10.0.0.2)" est utilisé. J'ai donc créé une route static via "WAN2 (11.0.0.2)" et le ping fonctionne via cette route. J'ai paramétré le failover, mais il n'y a pas de bascule entre WAN1 et WAN2 quand je débranche l'un des câbles qui relie es interfaces "WAN" et "LAN".

    Je n'arrive pas à faire fonctionner les deux routes en même temps. Pour info, je n'ai pas paramétré de Loadbalancing !

    Merci à tous !



  • Bonjour,

    Multi-wan = multi-gateway = sélection de la gateway dans les rules (avec ou sans pool de gateway failover/loadballancing)

    donc pas de static route mais sélection de la gateway à utiliser :)

    Cordialement



  • Salut salut

    En cherchant, quoi 2 min et encore

    Que ce soit en anglais ou en français, j'ai du même trouver en allemand.

    vous avez je pense de quoi faire.

    Cordialement.



  • Bonjour,

    Baalserv Merci pour ta réponse !

    Si j'ai bien compris il faut que je sélectionne les gateway à utiliser dans mes règles de filtrages ?
    Pour mes tests, tout est open !
    Pour infos, je vais utiliser deux connexions internet (data et voip) et l'une sera la backup de l'autre au cas le lien est down.

    Tatave, si vs aviez mis plus de 2 minutes, vous vous seriez rendu compte que seul la première doc peut m'être utile, de plus je les ai déja toutes lu.

    Je continue mon investigation aujourd'hui en sachant que je dois également faire du traffic shapping et un lien VPN IPSEC.
    J'espère avoir fini ce soir (la journée va être longue).  :)

    Note : Le failover fonctionne si je connecte les deux WAN de mon premier routeur sur le même réseau.



  • @iadmin:

    Bonjour,

    Baalserv Merci pour ta réponse !

    Si j'ai bien compris il faut que je sélectionne les gateway à utiliser dans mes règles de filtrages ?

    Oui.



  • Ci dessous le schéma de mon environnement :

    - WAN1 (10.0.0.2) –-- LAN1 (10.0.0.1) -
    client (12.0.0.2) --- LAN (12.0.0.1) ---                                                              --- WAN1 (DHCP)
                                                              - WAN2 (11.0.0.2) ---- LAN2 (11.0.0.1) -

    Deux routeur multiwan de 3 interfaces sont utilisés. Le poste client ping bien tout le monde !

    Désolé ce n'est pas du clair pour moi : où est le pfSense ?

    Par ailleurs, je ne comprends pas qu'on fasse des tests de Failover sans expliciter les réglages afférents : gateway group, tiers, …



  • Salut salut

    coté schéma

    J'aurais fait ça

    et ou ça suivant le cas

    / désolé pour la taille /

    Mais cela est plus jolie et plus lisible je pense.

    La chose que l'on ne vois pas c'est les mécanisme qui peuvent s'expliquer par après.

    Cordialement.



  • @jdh:

    Désolé ce n'est pas du clair pour moi : où est le pfSense ?

    Par ailleurs, je ne comprends pas qu'on fasse des tests de Failover sans expliciter les réglages afférents : gateway group, tiers, …

    Il est vrai que ma description est vraiment simpliste et je m'en excuse. Je me permet donc de reprendre avec un supplément d'information.

    Ne disposant pas de deux liens multiwan, je cherche à tester le failover de mon routeur multiwan ALIX 2D13. Ci dessous le schéma de l'environnement de test :

    Adresses IP:
    WAN1 : 192.168.1.10/24
    WAN2 : 192.168.1.15/24
    LAN : 192.168.0.1/24
    Client : 192.168.0.2/24

    Dans Système -> Routing -> Gateway , mon interface WAN1 est celle utilisé par defaut.
    J'ai laissé le "Monitor" des deux interfaces par defaut, CàD l'adresse IP du "MODEM".

    Configuration du FailOver :
    Nom : Failover
    WAN1 : Tier1
    WAN2 : Tier2
    Trigger Level : Member Down.

    Configuration Rules:
    Règle concernant le protocole ICMP, source : any, destination : any.
    Gateway : default

    Je lance un ping vers mon modem : Ping OK
    Je débranche WAN1 : 4 paquets "impossible de joindre l'hôte" puis WAN2 prend le relais.
    Je rebranche WAN1 puis débranche WAN2 : 1 paquet "impossible de joindre l'hôte" puis WAN1 prend le relais.

    Souhaitant que mon traffic transite en priorité par WAN1, je modifie ma rules ICMP en y ajoutant:
    Gateway : Failover

    Je débranche WAN1 : 6 "impossible de joindre l'hôte"  puis WAN2 prend le relais.
    Je rebranche WAN1 puis débranche WAN2 : Idem.

    Tout fonctionne !  :D

    A la place du switch, j'avais mis un second routeur avec 2 x LAN et 1 x WAN. Je n'avais pas de réponse au ping ! Je n'ai pas cherché plus loin par manque de temps mais le problème devait venir des tables de routage.

    J'ai également du refaire la config des Gateway car ça ne basculait pas alors que mon Failover était identique. La seul différence était que mon interface WAN2 se situait au dessus de WAN1 dans l'interface.

    En tout cas merci d'avoir pris le temps de participer à ce post !



  • Vous fournissez plus d'infos, c'est bien. (Et vous comprenez, un peu tard, l'utilité de le faire dès le départ)

    Je suis désolé mais je ne comprends toujours pas tout de votre situation :

    • le failover et le loadbalacing sont des cas de multi-wan,
    • le multi-wan suppose au moins 2 wan distincts,
    • comme cité parfois, pfSense n'aime pas avoir 2 wan avec la même gateway !

    Votre schéma comporte 2 wan … qu n'en sont pas puisqu'il n'y a qu'un seul routeur final.
    Ce n'est pas parce que 2 wan utilisent 2 ip distinctes qu'il sont réellement distincts : je conseille d'avoir 2 wan distinctes au niveau ip (et donc avec 2 gateway distinctes).


Log in to reply