AIDE/HELP avec 2 WAN - 2 PFSENSE - 1 LAN - 1 DMZ - 3 VPN



  • Salut,

    Je désire installer une configuration avec deux lien internet et deux pfsense pour éviter la coupure de service.

    Contexte : Nouvelle configuration dans un environnement en production
    Besoin : Avoir un site principale avec deux lien internet et deux PFSENSE qui se connecte à 3 site distant
    WAN : Deux fournisseur internet
    LAN :  un réseau en DHCP la production
    DMZ : un réseau DHCP pour les expérimentations
    Régles NAT et firewall : redirection de port de WAN à LAN pour enregistreur de caméra et serveur Web
    Packages ajoutés : aucun
    Autres Fonctions assignés au Pfsense : OPENVPN

    J'ai déja réussi à faire la configuration des deux WAN1 et WAN2 en les regroupant en GATEWAY pour le failover
    J'ai déja réussi à faire la fonciguration de la syncro entre les deux PFSENSE

    Il me reste la configuration de CARP (Virtual IP) à faire que je ne comprend pas trop comment le faire avec deux WAN ????

    Aussi dans ce genre de setup avec deux WAN, 1 LAN et un DMZ j'ai vraiment besoin de 4 concentrateur/switch ????

    Pour le serveur DHCP je dois le laissé par défaut ou j'ai une config spécial à faire … ?
    Si je veux configurer un VPN avec OPENVPN dans une configuration du genre je le fais la même chose que avec un PFSENSE mais en choissant mon groupe (GATEWAY) de Wan a la place ?

    Suis-je correct si je configure les addresses suivantes ???

    WAN1 / PFSENSE1 : 24.203.156.1
    WAN2 / PFSENSE1 : 24.206.12.1
    WAN1 / PFSENSE2 : 24.203.156.2
    WAN2 / PFSENSE2 : 24.206.12.2

    LAN / PFSENSE1 : 10.10.5.1
    LAN / PFSENSE1 : 10.10.5.2

    DMZ / PFSENSE2 : 172.16.0.1
    DMZ / PFSENSE2 : 172.16.0.2

    CARP WAN1 :  ?????
    CARP WAN2 :  ?????

    CARP VIP / LAN : 10.10.5.3
    CARP VIP / DMZ : 172.16.0.3

    Merci,

    Au revoir




  • Carp WAN1  : 24.203.156.3
    Carp WAN2  : 24.206.12.3
    Par exemple et sous réserve de la disponibilité de ces ip et masques. Cela pourrait coller.



  • (Il est important d'utiliser le formulaire : cela aide le lecteur et, au final, vous avez de meilleures réponses.)

    Mon expérience en terme de CARP remonte à pfSense 1.3, je présume que le concept demeure.

    Un cluster, c'est 2 machines et un lien (interface) de synchro entre elles.
    L'une est master (active), l'autre slave (inactive).
    Chacune a sa propre adresse ip sur chaque interface, mais la machine master a, en plus, les adresses ip virtuelles qu'il faut utiliser (ou du cluster).
    La bascule consiste transférer les adresses ip virtuelles (quand le master tombe).
    Il est à comprendre que l'on accède, bien sur, qu'aux ip virtuelles ensuite (quelle que soit l'interface) !

    Pour les interfaces internes (à adressage privé), pas de difficulté : 192.168.1.11 ip lan de fw1, 1.12 ip lan de fw2, et .10 ip lan virtuelle du cluster.
    Pour une interface wan à adressage public, c'est plus compliqué.
    Si on possède une range d'adresses ip suffisante, on y arrive :
    exemple : réseau 128.128.128.160/29 donne 8 adresses dont 6 utiles :
    128.128.128.160 = réseau (inutilisable)
    128.128.128.161 = routeur FAI
    128.128.128.162 = dispo
    128.128.128.163 = dispo
    128.128.128.164 = ip WAN (reelle) fw2
    128.128.128.165 = ip WAN (reelle) fw1
    128.128.128.166 = ip (virtuelle) cluster
    128.128.128.167 = broadcast (inutilisable)
    Si on ne possède pas une range suffisante, on triche en agrandissant et … en priant pour ne jamais être en contact :
    exemple : réseau 128.128.128.160/30 donne 4 adresses dont 2 utiles :
    128.128.128.160 = réseau (inutilisable)
    128.128.128.161 = routeur FAI
    128.128.128.162 = ip (virtuelle) cluster
    128.128.128.163 = broadcast (inutilisable)
    On configure tous les wan en /29 avec les ip réelles de fw1 et fw2 en .165 et .166.
    La conséquence sera le fonctionnement ok mais l'impossibilité de causer avec les vraies .164-.167 !

    Ne pas oublier de faire attention au NAT OUTBOND qui doit être en manuel avec ip virtuelle du cluster !

    A adapter si en plus failover ... (double wan)

    Attention, je retirerai le dhcp qui me semble peu aisé à basculer


Log in to reply