2 Wan mais dans le même Range d'IP



  • Bonjours,
    J'aurais aimé savoir si (avec le version 2.1.5 de pfsense) d'avoir 2 WAN en client dhcp sur le même range.
    Exemple : WAN1 = 84.72.217.23/24(DHCP), 84.72.217.1(DHCP) et WAN2 = 84.72.217.18/24(DHCP), 84.72.217.1(DHCP)
    Je savais que par le passé ça posait problème mais je ne sait pas si avec cette version ça a été corrigé.
    Merci d'avance et a plus.



  • Je ne comprends pas bien ta demande qui semble couvrir plusieurs aspects:

    • 2 WAN en DHCP dans le même range (donc même serveur DHCP)
    • chaque WAN hérite de plusieurs adresses DHCP
    • (sauf si il s'agit d'un typo ou que je ne sais pas bien lire) les 2 WAN on une adresse IP commune (ici 84.72.217.1)

    Au delà du fait que je ne vois pas bien la finalité d'un tel design, je pense que la réponse est clairement non en ce qui concerne l'adresse IP identique sur des interfaces différentes  ;)



  • Pour dire plus simplement : Mon FAI me fournit 2 adresse IP dynamique qui se trouve sur le même range. Donc j'aurais aimé que le WAN1 en acquière une et le WAN2 acquière l'autre.



  • @BenGonGon:

    Pour dire plus simplement : Mon FAI me fournit 2 adresse IP dynamique qui se trouve sur le même range. Donc j'aurais aimé que le WAN1 en acquière une et le WAN2 acquière l'autre.

    oui mais ce n'est pas ce que tu décris car tu montres 4 adresses IP, 2 par interface  ::)

    Dans le principe, je ne vois pas de problème à l'acquisition d'une adresse IP dynamique pour chaque interface. La difficulté n'est pas là  ;)

    Ce qui peut être potentiellement compliqué, c'est qu'avec 2 interfaces sur le même réseau, il faut t'assurer que chaque session (et c'est vrai pour les flux sortants et entrants) utilise bien la même interface.
    Attention également aux aspects de route  8)

    Quel avantage vises-tu avec ce type de design ?



  • Bin je peux mettre des serveurs en nat sur un IP WAN1 et mettre d'autre serveur sur l'autre adresse IP WAN2.



  • Je ne comprend pas bien non plus les fonctionnalités recherchées avec cette configuration.



  • Bin comme ça, je sépare ce qui est public de ce qui est privé.



  • Je comprend de moins en moins ! Si c'est privé, pas besoin de nat.



  • c'est un peu plus clair  ;)

    Disposer de plusieurs IP publiques (laissons tomber DHCP pour le moment) permet d'offrir des services vers différents serveurs en fonction de l'IP (publique) demandée, comme par exemple disposer de plusieurs serveurs Web sans mettre en œuvre de reverse proxy ou de solution de type vhost (au sens Apache du terme) (je ne discute pas ici de est-ce que ces solutions sont mieux ou moins bien que des IP différentes  ;))

    Mais, si c'est bien ce que tu vises, cela ne nécessite pas plusieurs interfaces. Je veux dire par là que tu peux obtenir la même chose avec une seule interface.

    Le deuxième aspect pas cool, toujours si ton objectif est bien celui que je reformule, c'est le coté dynamique de l'adresse IP (bien qu'il soit possible, mes 2 ISP me font ça) d'être en DHCP avec une IP fixe.

    Du coup, en prenant en compte ces éléments de réflexion, la valeur ajouté de ton design n'est pas évidente (pour le moment) alors que tu pourrais utiliser cette deuxième interface pour construire une DMZ (par exemple puisque tu parles de services "publiques") ou mettre en place de la haute disponibilité en cas de panne d'une des 2 interfaces, ou encore faire du load-balancing.



  • Sur la base ce que comprend Chris4916, l'architecture recherchée n'offre pas d'avantage selon moi. peut être nous manque til des éléments pour l'apprécier avec plus de pertinence.
    En effet une seule interface réseau suffit.
    Ensuite en effet dhcp ne signifie pas nécessairement adresse ip changeante. L'adresse ip peut être fixe mais affecté via DHCP.
    Si la question est de séparer l'accès à des services distincts, ce sont davantage des problématiques d'authentification qui vont être décisives. Car sur quel base décide t on de l'accès ou non à un service ? Surement pas sur la base de l'ip vers laquelle se connecte l'utilisateur.



  • Tu as vu juste chris4916, mais mes IP sont dynamique pas statique sur dhcp.

    Sinon t'inquiète pas pour mes interfaces, c'est un lag 5 brins en mode trunk, mes sorties physique.
    Et c'est un 48 ports cisco qui ramasse le trunk, donc je pense ne pas être coincé en nombre de sortie physique.

    interface vlan DMZ, guest et lan j'ai déjà.

    à l'époque où j'avais mis en place ma config, j'avais du triché.
    Pfsense ne supportais pas d'avoir 2 interface différent dans le même subnet.
    Et pour y arriver, sur wan1 c'est direct au modem du fai et le wan2 passait du fai par un routeur lowcost zyxel(juste pour changer le range).
    Le temps à passé et je voulais juste savoir si pfsense (2.1.5) ne souffrait plus de cette tare

    ccnet, laisse les personnes qui se comprennent entre elle.



  • ccnet, laisse les personnes qui se comprennent entre elle.

    Typique !

    Moi si j'avais une question, je souhaiterai avoir le maximum de réponses intéressantes possible.
    La première façon est de présenter correctement son problème :

    • pas en 1 seule phrase et avec un incohérence (4 adresses ip pour 2 interfaces dont un doublon !)
    • pas aussi mal puisque l'incompréhension des lecteurs se traduit par de multiples posts.
      Je ne me passerai pas (et même espérerai) du plus important contributeur (depuis 3-4 ans) et dont la qualité des posts est remarquable !
      S'il ne comprend pas la problématique, c'est la faute de qui, à votre avis ?


  • Bin comme ça, je sépare ce qui est public de ce qui est privé.

    Le temps à passé et je voulais juste savoir si pfsense (2.1.5) ne souffrait plus de cette tare

    Il faudrait savoir quelle est la question que vous souhaitez poser. Même cela n'est pas clair. A propos, la dernière version de Pfsense est la 2.2.4.

    laisse les personnes qui se comprennent entre elle

    Nous ne sommes pas ici pour jouer aux devinettes ou au jeux des sept erreurs. N'imaginez pas que je ne vais pas intervenir sur un fil où on ne comprend pas les objectifs et où les fonctionnalités recherchées ne sont pas clairement explicitées par l'auteur; ce type de fil est inutile pour le futur.
    Donc je redis et je maintiens que l'utilisation d'adresses ip appartenant à un même numéro de réseau n'est pas une réponse en terme de sécurité pour protéger et distinguer des contenus ou services privés par rapport à ceux qui ne le sont pas.



  • @ccnet:

    Donc je redis et je maintiens que l'utilisation d'adresses ip appartenant à un même numéro de réseau n'est pas une réponse en terme de sécurité pour protéger et distinguer des contenus ou services privés par rapport à ceux qui ne le sont pas.

    En étant un peu plus modéré  ;)  ce qui est inutile, dans ce cas, est de disposer des ces adresses IP sur des interfaces différentes.
    Ce n'est jamais indispensable mais disposer de plusieurs IP publiques (et donc coté WAN) offre quand même beaucoup plus de souplesse (il n'y a pas que les aspects sécurité) pour les services annoncés sur internet. Tout régler à grands coups de NAT et/ou de proxy ou de vhost n'est pas toujours la meilleure solution.



  • Salut salut

    Je vais mettre mon petit grain de sel sur une plaie ouverte ;o (mode sadique on).

    Etant un visuel, je suis perdu sans un petit schéma.

    Je parts du principe qu'un beau dessin avec des informations pertinentes facilite la compréhension de la problématique.

    Sauriez vous nous faire cela ?
    J'aimerais qu il y est les adresses et éléments de votre réseau.

    Cela nous permettra de voir les incohérences de votre plan ou les bonnes idées.
    Le cas échéant nous pourrons ou pas vous aider.

    Comme vous l'aurez compris, vous n'êtes pas le seul dans ce cas, si vous ne présentez pas de manière claire avec suffisamment de détail important nous n'aurions pas eu ce type de discussion là.

    (node sadique off)

    Cordialement.



  • @chris4916:

    @ccnet:

    Donc je redis et je maintiens que l'utilisation d'adresses ip appartenant à un même numéro de réseau n'est pas une réponse en terme de sécurité pour protéger et distinguer des contenus ou services privés par rapport à ceux qui ne le sont pas.

    En étant un peu plus modéré  ;)  ce qui est inutile, dans ce cas, est de disposer des ces adresses IP sur des interfaces différentes.
    Ce n'est jamais indispensable mais disposer de plusieurs IP publiques (et donc coté WAN) offre quand même beaucoup plus de souplesse (il n'y a pas que les aspects sécurité) pour les services annoncés sur internet. Tout régler à grands coups de NAT et/ou de proxy ou de vhost n'est pas toujours la meilleure solution.

    Entièrement d'accord pour des aspects autres que sécurité. Il y a un tas d'aspects fonctionnels qui peuvent le justifier.