Multiwan CARP failover ne fonctionne plus depuis upgrade



  • Bonjour,
    depuis la mise à jour de mon firewall en 2.1.5, quelque chose ne fonctionne plus dans la redirection du trafic vers les VIP…
    je m'explique :

    j'utilise 2 pfsense en failover, qui connectent 2 LAN et 3 WAN.
    la config CARP failover fait que mon trafic réseau est redirigé vers une VIP sur chaque interface, dans les NAT outbound.
    depuis la mise à jour, cette config ne permet plus de rediriger mon trafic vers le multiwan, ou bien des ports particuliers vers un WAN dédié... tout va systématiquement vers ma route par défaut.

    Si je paramètre ma passerelle (sur mon poste de test) sur l'IP LAN de mon pfsense au lieu de la VIP LAN, mon multiwan fonctionne.

    avez-vous un idée de ce qui peut manquer dans mes règles de NAT pour que l'aiguillage du trafic fonctionne de nouveau ?
    merci par avance,



  • salut salut

    Avant toutes choses, pouvez vous lire ceci et reformuler s'il vous plait.

    ==> https://forum.pfsense.org/index.php?topic=79600.0

    Cordialement.



  • ok, désolé :)

    Contexte : milieu pro, pfsense virtualisé sur VmWare ESX, utilisé en firewall principal depuis 2012 (version 2.0)

    Besoin : Solution de Routeur/firewall redondant, avec répartition du trafic entre les différents WAN, selon les protocoles utilisés.

    WAN (modem/routeur/box) : 3 WAN : une connection au sein d'un MPLS, 2 WAN vers des liens DSL (Orange et OVH)

    LAN : 2 LAN : Un LAN pour les postes de travails, Un LAN pour nos serveurs.

    Règles NAT : manual outbound (pour rediriger le trafic vers les VIP)

    Règles Firewall : allow all sur les WAN, sur le LAN des postes : règle de redirection du trafic vers un groupe de gateway pour le HTTP et HTTPS.

    Packages ajoutés : Open-VMtools

    Question : depuis la mise à jour vers 2.1.5 (d'abord en maj auto, puis reinstallation complète), la redirection du trafic vers le multiwan ne foncionne pas depuis les VIP. Cela fonctionne en utilisant l'adresse IP du firewall directement en tant que passerelle. Nous utilisions cette configuration depuis plus d'un an sans problème.

    Peut-être que cela vient d'une gestion différente des rèles de NAT outbound ? nous devions jusque là créer des règle manuelles pour rediriger les flux sortants de chaque interface vers la VIP…

    voilà, j'espère que ces précisions seront suffisantes...