Mise en place d'un NLB et Failover



  • Bonsoir,

    Contexte : Mise en place d'un cluster NLB et d'un Failover entre 2 pfsense 2.1.5 et 2 Dedibox hébergée chez Online pour un de mes clients. Je suis très bon en archi Windows. Sur pfsense je me débrouille mais sur ce point en question je ne sais pas comment m'y prendre. C'est un nouveau projet.

    Besoin : Je sais qu'il est possible de faire du NLB et du Failover avec Pfsense mais j'ai une question technique. J'ai plusieurs serveurs Windows hébergé chez Online (non virtualisé). Je souhaiterais avoir 2 serveurs frontaux NLB/failover tournant sous pfsense qui redirigent mes clients sur ma ferme de serveur IIS sur tel ou tel serveur.

    Schéma :

    WAN : 2 IP Publique / pfsense

    LAN : Ne sera pas utilisé

    DMZ : Ne sera pas utilisé
    WIFI : Ne sera pas utilisé
    Autres interfaces: Ne sera pas utilisé
    Règles NAT: transfert automatiquement le flux HTTP/HTTPS vers un autre serveur via un autre WAN
    Règles Firewall: accepte uniquement le HTTP et HTTPS
    Packages ajoutés: Je ne sais pas
    Autres fonctions assignées au pfSense: Aucune

    Question :
    Est-ce possible de faire du NLB avec deux "pattes" WAN?
    C'est à dire que mes clients arrivent sur l'IP de mon NLB/Pfsense et ce dernier envoie le flux sur une Dedibox ou une autre (comme un rebond). En sachant chaque Pfsense aura son propre serveur avec deux cartes réseau (WAN + Une IP supplémentaire/Failover) et que mes serveurs IIS sont déja en place et accessible via leur IP Publique.

    CLIENTS ====>WAN-(Pfsense1 ou Pfsense2)-IP/Failover====>WAN-(DediboxIIS1 ou DebiboxIIS2).

    Edit : j'ai cherché sur Internet des tutos mais à chaque fois c'est avec des IP privées derrière de type 192.168.x.x et non des IP publiques.

    Merci à vous.



  • Salut salut

    (mode nain grognon enragée on)

    Pas de respect du formulaire en place pour section = pas d'entraide

    un peu de recherche, voir beaucoup.

    Non cordialement.

    (mode naine grognon enragée off)



  • Bonjour,

    Comme préciser par TATAVE = > https://forum.pfsense.org/index.php?topic=79600.0

    A défaut des informations requise pour un diag plus approfondis je peut vous dire ceci :

    Pfsense : The definitive guide => chapitre 11 & 17, éventuellement aussi chapitre 16

    En vous souhaitant une bonne lecture  ;)

    P.S : DIsponible chez Amazon US ou chez www.osnet.eu



  • @Tatave:

    Salut salut
    (mode nain grognon enragée on)
    Pas de respect du formulaire en place pour section = pas d'entraide
    un peu de recherche, voir beaucoup.
    Non cordialement.
    (mode naine grognon enragée off)

    Bonjour Tatave,

    je comprends et vous prie de m'excuser. Il était tard hier soir (certes ce n'est pas une excuse) et je voulais avoir une piste pour continuer à travailler dans la nuit. Je suis désolé si j'ai froissé quelqu'un ici.
    J'ai mis à jour mon premier post. Désolé…



  • salut salut

    Vous auriez pris 5/10 min pour parcourir le forum vous vous seriez éviter une charge de ma part et celle d'autres qui auraient pu me devancer.

    bon avec cela nous pourrons avancer.



  • Alors le NLB c'est un terme Microsoft pour designer une technologie désormais obso de partage de charge par MAC partagée. Que du bonheur.

    Chez pfSense, on fait du cluster a tolerance de panne, a savoir un noeud actif puis un noeud passif en attente de prendre la main en cas de panne du primaire. Ceci est realisé par l'intermediaire de deux fonctions de pfsense :

    • CARP, qui permet la mise en place d'une IP virtuelle basculant entre les noeuds (= hsrp)
    • pfSync, qui est un module de synchronisation des etats TCP entre les deux noeuds pour que la bascule n'engendre pas une fermeture des connexions en cours.

    Ensuite, en effet, pfSense embarque un module d'equilibrage de charge TCP fonctionnant a la couche 4 du modele OSI (tcp) donc sans comprehension du protocole vehiculé. Ce qui est bien mais pas top © Les Nuls.

    Pour votre besoin de partage de charge  devant IIS j'aurai tendance à vous aiguiller vers ces deux projets opensource forts répandus sur les fonction reverse proxy :

    • apache en configuration reverse proxy (mod_proxy + mod_rewrite + mod_balance)
    • nginx

    Bon courage



  • Merci (Commissaire) Juve  :P ;)
    Je vais potasser tout ca!


Log in to reply