Port forwarding sur multiwan



  • Contexte : Projet perso

    Besoin : utiliser pfsense comme routeur pour un ensemble de VM lan sur un esxi

    Schéma :

    wan1 –-> pfsense ---> lan1
    wan2 ---> pfsense ---> lan1

    WAN (modem/routeur/box) : 2 wan (ipfaliover de dedibox) donc les 2 wan utilisent la même gateway
    LAN : 1 10.0.0.0/24
    DMZ : none
    WIFI : none
    Autres interfaces : none
    Règles NAT : C'est ce que je n'arrive pas à mettre en palce
    Règles Firewall : par onglet, règles principales, …
    Packages ajoutés : shellcmd et vmware tools
    Autres fonctions assignées au pfSense : none

    Question : Problème précis rencontré et questions posées :

    J'essai de configurer pfsense avec 2 WAN sur une VM hébergée sur un esxi d'une dedibox. La subtilité dans cette configuration c'est que mes 2 ip WAN ont la même adresse IP de passerelle.
    J'ai donc créer 2 gateways qui ont la même IP de passerelle et affecté chaque gateway à une interface différente (wan et wan2). Je n'ai pas fait de group de gateway

    J'ai ensuite dans ma partie lan fait une rule qui dit que la VM X passe par la gateway WAN2. Sinon c'est la WAN1 qui est prise en sortie.

    Enfin, j'ai tenté d'ouvrir un port entrant sur la wan2 via firewall/nat. Impossible de faire fonctionner les flux entrants sur la WAN2. par défaut une rule est ajouté au firewall de WAN2,
    mais je ne rentre pas. Si je désactive la règle qui permet de choisir WAN2 pour la VM X, et que je refais un nat sur la WAN1, je n'ai aucun problème.

    Je dois louper quelque chose quelque part, mais je n'arrive pas à trouver. Auriez-vous une iodée ?

    Voilà, j'espère que vous pourrez m'aider.





  • désolé, je n'avais pas vu le topic. Je suis allé vite en besogne.J'espère que ça ira mieux en respectant le formulaire :)



  • Heu et les basses de recherche ou tuto trouvé ? il en fourmille sur le web , et meme des topics sur le sujet dans la section avec des réponses fonctionnelles.

    Clairement ===> 0 recherche

    Non cordialement.



  • oh si, j'en ai fait des recherches sur le web et le forum avant de m'enregistrer pour poser la question. mais 99% des réponses traitent de gateway différentes (ip gateway = même réseau que ip WAN, et les 2 gateway doivent avoir des adresses différentes l'une de l'autre). Donc je n'ai pas trouvé ….

    bref, laissez tomber ...



  • 2 wan avec la même gateway c'est pas bon !

    voir : https://forum.pfsense.org/index.php?topic=78088.msg427346#msg427346



  • bah oui, mais pas le choix. C'est l'archi dedibox qui veut ça … Du coup je gruge en éditant le config.xml pour ajouter les gateway ;)



  • essayez de ''gruger'' en intercalant sur 1 des wan un vm sous dd-wrt histoire d'avoir une GW différente ?



  • ben s'l fallait créer une autre vm pour arriver à mon besoin, je préfère créer directement un autre pfsense dédié au second WAN.

    Merci pour votre aide en tout cas. Je continue les tests.



  • Si la gateway est la meme sur les deux WAN, elle est donc accessible par les deux WAN, comment pensez vous que le système reagit a cette configuration ? Les deux wan n'ont aucun critère discriminant…
    Ce que vous loupez c'est la compréhension de la technologie que vous manipulez.

    Ensuite quelle est la finalité ? Si c'est de pouvoir utiliser les deux IP publiques pour des nat entrants alors c'est la mauvaise piste.

    En fait je ne comprend pas ce que vous voulez obtenir au final, donc difficile de vous aider.



  • Bonjour,

    J'ai moi même (à titre perso) un esx chez Online avec un PFSense (virtuel donc).
    Je ne comprends pas non plus votre manip' ni même le but.

    Pour résumer mon "archit" :
    Un srv dédier installé avec ESX, un PFsense qui possède donc une IP failover comme IP publique et mes autres VMs dans des LAN derrière PFSense en IP privé sur des interface réseau virtuels créé directement dans la console ESX.
    Mon PFSense dispose donc, d'une interface réseau en Bridge (mon WAN) et d'autres interface virtuelle permettant la communication avec les VM via différents ports (LAN, OPT1, OPTn…)
    j'ai ajouté toutes mes IP failover ensuite dans les VIP (Vitual-IP) et pouf ça NAT, ça Port Forward, ça rox et tout et tout...

    Je ne vois qu'une solution pour t'aider, explique nous un peu mieux ton souhait/besoin.

    ps: J'ai écris ce message à la va vite car je suis un peu sous le feu après cette période de gel mais je serais ravis de pouvoir t'aider si je le peux techniquement.

    Cdt,
    Secf'


Log in to reply