2 wan / 2pf, problème au niveau de paramétrage dua wan et certaines applications



  • Tous comme d'autre, pour une fois n'est pas coutume, j'ai besoin d'un petit coup de pied, voir plus.

    Contexte : milieu perso/educatif , niveau d'expériences est relative quand je vois jdh appelé au secour (pas taper)

    Besoin : je n'arrive pas à faire en sorte que mon cluster pf avec 2 wan (fo) puisse me laisser utiliser des applications tel que teamspeak ou tout bêtement steam (de valve).
    le besoin est judique certe mais me rend perplexe pour l'intégration de solution vpn plus tard dans le cadre d'un projet de fin d'étude.

    Schéma :

    soit deux pf (castor et pollux)
    http://tb-info.net/images/informatique/shema/Pfsense_failover_2wan1dmz1lan.jpg

    WAN1 (livebox) : 192.168.2.0/24
    une box orange qui doit me servir de box d'accès principal depuis mon lan et secondaire pour les entrée depuis l'extérieur vers la dmz

    WAN2 (freebox_revolution) : 192.168.1.0/24
    une box free qui doit me servir de box d'accès secondaire depuis mon lan et principal pour les entrée depuis l'extérieur (futur vpn/rdp/auto hébergement)

    LAN : 192.168.40.0/24, vlan, autres réseaux accédés via routeurs, adressage, dhcp fourni ou non, dns local, …

    DMZ : 192.168.30.0/24,
    sert pour mon labo d'étude sous hyper-v en cluster, et mon labo d'expérimentation sous esxi

    Synchro : 192.168.50.0/24
    pour la pulsation entre les deux pf et la synchro pf/pf

    Carp :

    • wan1 ==> 2.10 fonctionnel
    • wan2 ==> 2.10 fonctionnel
    • lan ==> 40.10 fonctionnel
    • dmz ==> 30.10 fonctionnel

    Dhcp : fonctionnel
    actif sur lan et dmz, pas de soucis avec, attribution et basculement fonctionnel avec l'adresse carp lan et dmz pour la passerelle et le dns

    Règles NAT :

    • forward, pour l'instant rien de fait.
    • nat outbount ; manuel
      je n'ai que

    Règles Firewall : par onglet, règles principales, ...

    Packages ajoutés : aucun d'installé

    Autres fonctions assignées au Pfsense : pour moi mon cluster doit rester un pare-feu router, donc rien d'autre ne sera ajouter.


    Question :
    je n'avigue sur le web (http/https) , émission/réception de mails pas de soucis,
    Sauf que pour le reste je suis dans le potage.
    pour me loger sur un serveur ftp actif (via filezilla) pour mettre a jour mon site, je me fait jeter juste après l'authentification.
    pour me loger sur un serveur vocal comme speamspeak ou mumble même ordre et même motif.


    Pistes imaginées
    j'ai par le passé déjà eu le soucis mais même en remettant les paramètres identiques pour tourner j'avais réussi avec votre aide à retourner sur mes pieds.
    Là, avec une réinstalle fraiche et 1lan 1wan 1synchro je ne passe plus.
    J'ai, pour éviter de me faire décapité par les miens mis en place un pf solo avec les deux fai, j'ai pas le soucis pour accéder aux applications.
    j'ai du raté un truc sur ma conf , comble d'ironie je n'arrive pas à remettre la mains sur mes sauvegardes de mon cluster quand je n'avais que 1 wan devant le cluster.


    Recherches : tous les sites parcourus parlent de failover avec xWan sans cluster, sauf le mien ou je devais traiter du sujet n'est pas finalisé.

    Je reste persuadé que cela vient d'un paramètre que j'ai raté.

    Cordialement.



  • pour me loger sur un serveur ftp actif (via filezilla) pour mettre a jour mon site, je me fait jeter juste après l'authentification.

    On pourrait voir le log de l'échec de la connexion, de chaque côté (serveur, client) de préférence. Merci.



  • Je vais me répondre à moi même une fois n'est pas coutume.

    En remettant tout à plat un bon matin mon cluster pf en m'aidant d'un pf solo avec un basculement dual wan fonctionnel.

    En partant de ce point de repère, j'ai effectué plusieurs points comme suit :

    • Installer mon premier pf dual wan et un lan activé la carte synchro sans la mise en cluster
    • Installer mon deuxieme pf mono wan/lan
    • Paramétrer le cluster wan/lan
    • Ensuite je me lancer sur les test et relecture de mes notes pour mon cluster antérieur que j'ai retrouvé (le tatave est un animal qui joue les écureuils mais qui comme lui oublie ou il a mis les choses ^^)

    Résultat le cluster est fonctionnel avec un basculement de wan

    Les raisons de mon soucis :

    • 1 - L'écriture du outbound :

    • Interface wan1 / sources port * / dest * / dest port * / nat address = ipv sur wan1 / nat port *

    • Interface wan2 / sources port * / dest * / dest port * / nat address = ipv sur wan2 / nat port *

    • 2 - L'écriture des règles sur le lan

    • Sources = lan / proto * / destination * / port * / gw *

    • Sources = * / proto * / destination * / port * / gw wan1

    • Sources = * / proto * / destination * / port * / gw wan2

    • Sources = * / proto * / destination * / port * / gw LB

    Le but premier était que quelques soit le lien de sortie de mon réseau, mes users puissent avoir accès à l'exterieur.
    Le but secondaire était que les users initérant puissent rentrer sur leur applications via l'un ou l'autre mais la c'est au niveau du client que faire faire un test de connexion

    • si sur le lien 1 je passe pas je tente le lien 2.
    • si sur le lien 1 tombe le script relit ou il a eu une liaison ok et tente leur l'autre au cas ou celui ci serait on.

    En conclusion
    Le tout est fonctionnel mais mérite d'être optimisé.
    J'en convient c'est du bricolage sur la partie cliente, mais je m'en contente pour l'instant car c'est une maquette en grandeur nature.
    je suis sur des accès rdp simple, je vais m'attaquer à la partie vpn dans les semaines à venir.

    Merci encore.

    nota : relire ces notes et les tuto ne fait pas de mal cela permet aussi de faire un liste de pièges à éviter et comment les résoudre en cas d'oubli.

    Cordialement.
    Tatave



  • Hello,

    Can you help me ..

    I have made same setup like you, with 2 Pfsense in cluster and 2 WAN but can't understand CARP setup….  :-(

    WAN1 / PFSENSE1 : 24.203.156.1
    WAN2 / PFSENSE1 : 24.206.12.1
    WAN1 / PFSENSE2 : 24.203.156.2
    WAN2 / PFSENSE2 : 24.206.12.2

    LAN / PFSENSE1 : 10.10.5.1
    LAN / PFSENSE1 : 10.10.5.2

    DMZ / PFSENSE2 : 172.16.0.1
    DMZ / PFSENSE2 : 172.16.0.2

    CARP WAN1 :  ?????
    CARP WAN2 :  ?????

    CARP VIP / LAN : 10.10.5.3
    CARP VIP / DMZ : 172.16.0.3

    thx

    Bye



  • hello,

    sorry, but you are in french writting section.
    yould better post in english one.

    Sincerly.



  • Bonjour,

    Je possède deux connexion internet et j'aimerais les configurer en failover en cas de panne d'une des deux et aussi mettre deux PFSENSE en Cluster en cas de panne d'un des deux pour éviter l’arrêt de service.

    Présentement j'ai réussi à configurer mes deux interface WAN1 et WAN2 sur les deux PFsense et créer un groupe Gateway pour le Failover…

    J'ai aussi réussi à configurer la syncro des deux PFSENSE pour le cluster avec le PFSYNC...

    Mais je ne comprends pas trop la configuration de CARP pour le virtual IP.. j'aurais besoin d'aide rendu la ...

    WAN1 / PFSENSE1 : 24.203.156.1
    WAN2 / PFSENSE1 : 24.206.12.1
    WAN1 / PFSENSE2 : 24.203.156.2
    WAN2 / PFSENSE2 : 24.206.12.2

    LAN / PFSENSE1 : 10.10.5.1
    LAN / PFSENSE1 : 10.10.5.2

    DMZ / PFSENSE2 : 172.16.0.1
    DMZ / PFSENSE2 : 172.16.0.2

    CARP WAN1 :  ?????
    CARP WAN2 :  ?????

    CARP VIP / LAN : 10.10.5.3
    CARP VIP / DMZ : 172.16.0.3

    Merci,

    Au revoir



  • J'ai besoin aussi que

    • le DHCP soit activé dans le LAN et DMZ
    • De créer un VPN site to multi site

    Présentement nous avons 1 site master avec 4 client qui ce connect avec OpenVPN au site master.

    Merci



  • Salut salut

    Avant de vous répondre j'avais eu l'idée courtoise de vous donner une piste de réponse ou de recherche.
    Sauf que, reprendre le poste d'un autre n'est pas spécialement bien vu.

    je vais donc gentiment vous renvoyer sur les roses et vous indiquer de relire ceci ==>  https://forum.pfsense.org/index.php?topic=79600.0

    N'étant pas madame Irma ni madame soleil ou le grand marabout, je ne sais si lire le mare de café encore moins je n'ai de dons divinatoire.

    Cordialement.



  • Salut,

    Désolé si je me suis mal exprimer… en espérant être plus clair avec ceci ....

    Contexte : Nouvelle configuration dans un environnement en production
    Besoin : Avoir un site principale avec deux lien internet et deux PFSENSE qui se connecte à 4 site distant
    WAN : Deux fournisseur internet
    LAN :  un réseau en DHCP la production
    DMZ : un réseau DHCP pour les expérimentations
    Régles NAT et firewall : redirection de port de WAN à LAN pour enregistreur de caméra et serveur Web
    Packages ajoutés : aucun
    Autres Fonctions assignés au Pfsense : OPENVPN



Log in to reply