AIDE/HELP avec 2 WAN - 2 PFSENSE - 1 LAN - 1 DMZ - 3 VPN
-
Salut,
Je désire installer une configuration avec deux lien internet et deux pfsense pour éviter la coupure de service.
Contexte : Nouvelle configuration dans un environnement en production
Besoin : Avoir un site principale avec deux lien internet et deux PFSENSE qui se connecte à 3 site distant
WAN : Deux fournisseur internet
LAN : un réseau en DHCP la production
DMZ : un réseau DHCP pour les expérimentations
Régles NAT et firewall : redirection de port de WAN à LAN pour enregistreur de caméra et serveur Web
Packages ajoutés : aucun
Autres Fonctions assignés au Pfsense : OPENVPNJ'ai déja réussi à faire la configuration des deux WAN1 et WAN2 en les regroupant en GATEWAY pour le failover
J'ai déja réussi à faire la fonciguration de la syncro entre les deux PFSENSEIl me reste la configuration de CARP (Virtual IP) à faire que je ne comprend pas trop comment le faire avec deux WAN ????
Aussi dans ce genre de setup avec deux WAN, 1 LAN et un DMZ j'ai vraiment besoin de 4 concentrateur/switch ????
Pour le serveur DHCP je dois le laissé par défaut ou j'ai une config spécial à faire … ?
Si je veux configurer un VPN avec OPENVPN dans une configuration du genre je le fais la même chose que avec un PFSENSE mais en choissant mon groupe (GATEWAY) de Wan a la place ?Suis-je correct si je configure les addresses suivantes ???
WAN1 / PFSENSE1 : 24.203.156.1
WAN2 / PFSENSE1 : 24.206.12.1
WAN1 / PFSENSE2 : 24.203.156.2
WAN2 / PFSENSE2 : 24.206.12.2LAN / PFSENSE1 : 10.10.5.1
LAN / PFSENSE1 : 10.10.5.2DMZ / PFSENSE2 : 172.16.0.1
DMZ / PFSENSE2 : 172.16.0.2CARP WAN1 : ?????
CARP WAN2 : ?????CARP VIP / LAN : 10.10.5.3
CARP VIP / DMZ : 172.16.0.3Merci,
Au revoir
-
Carp WAN1 : 24.203.156.3
Carp WAN2 : 24.206.12.3
Par exemple et sous réserve de la disponibilité de ces ip et masques. Cela pourrait coller. -
(Il est important d'utiliser le formulaire : cela aide le lecteur et, au final, vous avez de meilleures réponses.)
Mon expérience en terme de CARP remonte à pfSense 1.3, je présume que le concept demeure.
Un cluster, c'est 2 machines et un lien (interface) de synchro entre elles.
L'une est master (active), l'autre slave (inactive).
Chacune a sa propre adresse ip sur chaque interface, mais la machine master a, en plus, les adresses ip virtuelles qu'il faut utiliser (ou du cluster).
La bascule consiste transférer les adresses ip virtuelles (quand le master tombe).
Il est à comprendre que l'on accède, bien sur, qu'aux ip virtuelles ensuite (quelle que soit l'interface) !Pour les interfaces internes (à adressage privé), pas de difficulté : 192.168.1.11 ip lan de fw1, 1.12 ip lan de fw2, et .10 ip lan virtuelle du cluster.
Pour une interface wan à adressage public, c'est plus compliqué.
Si on possède une range d'adresses ip suffisante, on y arrive :
exemple : réseau 128.128.128.160/29 donne 8 adresses dont 6 utiles :
128.128.128.160 = réseau (inutilisable)
128.128.128.161 = routeur FAI
128.128.128.162 = dispo
128.128.128.163 = dispo
128.128.128.164 = ip WAN (reelle) fw2
128.128.128.165 = ip WAN (reelle) fw1
128.128.128.166 = ip (virtuelle) cluster
128.128.128.167 = broadcast (inutilisable)
Si on ne possède pas une range suffisante, on triche en agrandissant et … en priant pour ne jamais être en contact :
exemple : réseau 128.128.128.160/30 donne 4 adresses dont 2 utiles :
128.128.128.160 = réseau (inutilisable)
128.128.128.161 = routeur FAI
128.128.128.162 = ip (virtuelle) cluster
128.128.128.163 = broadcast (inutilisable)
On configure tous les wan en /29 avec les ip réelles de fw1 et fw2 en .165 et .166.
La conséquence sera le fonctionnement ok mais l'impossibilité de causer avec les vraies .164-.167 !Ne pas oublier de faire attention au NAT OUTBOND qui doit être en manuel avec ip virtuelle du cluster !
A adapter si en plus failover ... (double wan)
Attention, je retirerai le dhcp qui me semble peu aisé à basculer