Zusätzliches Subnet auf CARP VIP
-
Hallo zusammen,
ich habe folgendes Setup laufen:
WAN
|
+–---------+-----------+
| |
| VIPs |
1.2.3.2/29 | | 1.2.3.3/29
.----+----. 1.2.3.1/29 .----+----.
| pfSense +-------------+ pfSense |
'----+----' CARP '----+----'
| |
10.0.0.251/24 | 10.0.0.1/24 | 10.0.0.252/24
| .---------. |
+------| Switch |------+
'---------'
|
...-----+-----...
(Clients/Servers)
Jetz habe ich vom Provider ein weiteres Subnet 4.3.2.1/29 bekommen welches aber auf meine WAN VIP 1.2.3.1 geroutet wurde. Wie kann ich das am besten für meine Clients in 10.0.0.0/24 nutzen? -
Du kannst mal versuchen unter Firewall -> Virtual IP Address eine neue IP Adresse mit dem Typ "IP Alias" anzulegen.
Das könnte klappen. Ich meine das schon mal hier gelesen zu haben. -
NEIN. Sorry Flix aber eben genau das muss man nicht :)
Das was Zikke beschreibt ist der Idealfall: Routing auf die WAN VIP. Sprich das neue Subnetz ist immer verfügbar, auch bei Failover. Es kommt jetzt lediglich darauf an, was du mit dem Subnetz machen möchtest.
a) du routest es über die pfSense weiter auf deine Clients/Server hintendran. Damit würdest du aber bei einem /29er Netz und pfSense 2.2 mind. 1 IP verschwenden, weil du dann eine CARP VIP auf der Firewall anlegen müsstest (auf der DMZ/LAN Seite oder beim Gerät wo du es hinroutest).
b) du nutzt es per 1:1 NAT, dann musst du: trommelwirbel exakt gar nichts machen. Da das /29er Netz IMMER bei dir ankommt, da es auf deine WAN VIP geroutet wird, muss die Firewall KEINE VIP o.ä. auf WAN Seite haben, um das Netz anzunehmen. Es wird dir ja eh geschickt. Im Gegenteil, du kannst es sogar insofern besser nutzen, als dass du im Ausnahmefall sogar die Netz- oder Broadcast Adresse des Netzes auf der Firewall nutzen kannst (allerdings NUR für abgehende Dienste, die kein spezielles IP Handling benötigen, bspw. als abgehende externe NAT Adresse für dein LAN). Die anderen Adressen des /29er Netzes kannst du einfach - ohne eine VIP oder Alias konfigurieren zu müssen, einfach im 1:1 NAT Dialog benutzen und auf Clients/Server in deinem 10er Netz mappen, dann Firewallregel dazu anlegen, fertig.Wir bekommen so als Hoster bspw. von unserem Uplink im RZ unser großes /22er Netz auf eine CARP VIP eines /29er Transfernetzes geroutet. Vorher hatte der Uplink Provider selbst eine IP in dem Netz und deshalb musste die Firewall selbst IPs aus dem Segment "verschwenden" um die IPs als Alias einzurichten und zu mappen. Bei einem sauberen Routing wie oben entfällt das komplett.
Daher: Glückwunsch, du hast die denkbar einfachste Variante IPs zu bekommen erhalten :)
Grüße
Jens -
Stimmt zu früh am morgen zu schnell gelesen ;)
So wie ich gesagt habe geht das in diesem Fall dann natürlich nicht. -
@Flix: Doch das würde auch klappen, allerdings bei nem CARP Cluster nicht mit Alias. Es sei denn du mappst den Alias auf das vorhandene CARP Interface, denn sonst macht das den Failover nicht mit. Haben wir auch so, da wir noch 2.1.5 einsetzen und da das neue CARP Handling noch nicht drin ist. Ergo braucht man dann eine CARP VIP aus dem Netz (also bspw. dem neuen /29er) und darauf kannst du dann als "physical" interface dann die Aliase definieren, die dann auch brav mit failovern. Wie gesagt verschwendet das aber mind. eine IP auf der Firewall, die dann eben nicht für Services zur Verfügung steht.
Mit der Methode das einfach zu mappen kann man alle IPs des /29ers benutzen UND noch dazu bspw. die zwei Boundary-Adressen nutzen um bspw. abgehendes NAT der Firewall und des Netzes dahinter nach außen zu maskieren, ohne eine der anderen "echten" IPs zu nutzen. :)
Grüße
Jens -
vielen Dank. Das ist genau das was ich gehofft hatte, aber noch testen konnte.