Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Multi wan ; source routing

    Scheduled Pinned Locked Moved Français
    30 Posts 4 Posters 5.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      nordlead75
      last edited by

      Bonjour à tous

      je viens vers vous car je ne trouve vraiment pas la solution à mon probleme

      Je m'explique

      Une machine avec PfSense comportant plusieurs IP publique coté WAN
      2 machines DNS1 et DNS2 sur la partie LAN mais sur des reseaux different avec des vlan distincts également

      Le DNS1 utilise l'ip publique IP1 et la GW associée
      le DNS2 utilise l'ip publique IP2 et la GW associée

      le DNS1 est le primaire
      le DNS2 est le secondaire

      lors que je veux effectuer le transfert de zone entre le DNS2 et le DNS1 pour la zone dite INTERNET, la requete ne passe pas

      En gros comment forcer pour que les deux IP publiques etant sur la meme machine ne se voient pas

      merci de vos reponses

      schema

      IP1 –-> PFSENSE --> VLAN1 (LAN) 172.0.8.0 --> DNS1
      IP2 ---> PFSENSE --> VLAN2 (LAN) 172.0.9.0 --> DNS2

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Je comprend l'ensemble mais je lis des choses contradictoires et finalement je ne comprend rien.

        Le propre de deux dns, un primaire et un secondaire c'est de communiquer. Or vous avez opté pour un schéma qui par construction exclue cette communication.

        le transfert de zone entre le DNS2 et le DNS1 pour la zone dite INTERNET, la requete ne passe pas

        et

        En gros comment forcer pour que les deux IP publiques etant sur la meme machine ne se voient pas

        Sur le réseau publique opérateur vous n'avez pas la maitrise du routage, ni du filtrage.
        Après lecture de ces deux phrases je ne comprend strictement plus rien.

        ne se voient pas

        Je comprend encore moins ce que cela signifie.
        Utilisez le formulaire et expliquez le besoin fonctionnel.

        1 Reply Last reply Reply Quote 0
        • N
          nordlead75
          last edited by

          c'est assez dure a expliquer comme ca

          en gros sur mes DNS j'ai 3 zones

          une zone interne
          une zone externe
          une zone internet

          chaque zone se synchronise correctement sauf la zone internet

          pour la zone interne le master est en 192.168.100.0
          pour la zone externe le master est en 192.168.1.0
          pour la zone internet le master est en IP PUBLIQUE

          donc le slave se sychronise sur le master sur les deux zone interne et externe

          mais pour la zone internet
          normalement, le slave doit interroger l'IP PUBLIQUE du master de cette facon

          SLAVE(DNS2) –> LAN2 (VLAN2) --> IP PUBLIQUE 2 --> GATEWAY2 puis arriver  sur IP PUBLIQUE 1 --> LAN1(VLAN1) --> MASTER(DNS1)

          mais comme les IP PUBLIQUE sont sur la meme machine (PFSENSE) ca ne passe pas et je ne comprends pas pourquoi

          de DNS2 si je ping DNS1 ca marche mais en faisant un Tcpdump sur les interfaces WAN je ne vois aucun trafic

          si par contre je ping une ip autre que celle qui sont dans la pfsense ca sort correctement

          j'essaie d'etre plus clair mais j'ai un peux de mal je l'avoue

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            une zone interne
            une zone externe
            une zone internet

            Toujours pas clair !

            donc le slave se sychronise sur le master sur les deux zone interne et externe

            3 zones, deux ou trois dns (je ne comprend pas) ?

            Par ailleurs cette architecture réseau est un non sens. Faire transiter les mises à jour entre deux dns internes via le réseau externe (internet) est une opération à risque.
            Je doute que vous ayez d’extraordinaires besoins avec vos dns. Suffisamment extraordinaires pour qu'on ne puisse les traiter dans une architecture saine.

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Pour mon entreprise (multi-sites y compris étranger), je gère

              • des zones DNS publiques : hébergées chez des hébergeurs usuels
              • des zones DNS internes : sur serveurs DC Windows (dhcp+dns pour mise à jour)

              Il m'arrive de faire du split en définissant localement une définition différente : exemple wpad local à chaque site

              Dernier point : DNS utilise 53/udp mais aussi 53/tcp pour certaines fonctions dont le transfert de zones …

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • N
                nordlead75
                last edited by

                le probleme n'est pas le DNS

                c'est juste que la pfsense ne joue pas le role que je veux

                clairement je veux que les IP publiques ne se voient pas entre elles via la meme pfsense

                alors que la si depuis DNS1 je fais une requete sur l'ip publique de DNS2 ca passe en interne de la pfsense car les IP Publiques sont sur la meme machine

                je n'arrive pas plus que ca a vous expliquer, de vive voix cela serait plus simple si qq un avait un num je pourrais expliquer plus facilement

                merci en tout cas de votre aide et de l'effort pour essayer de m'aider

                1 Reply Last reply Reply Quote 0
                • N
                  nordlead75
                  last edited by

                  une precision

                  lorsque je ping l'IP PUBLIQUE 2 via DNS1 ca repond mais en faisant un tcpdump sur la partie WAN de l'ip publique 2 , il n'y a rien donc on voit bien que les paquets ne sortent pas de la partie WAN

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    clairement je veux que les IP publiques ne se voient pas entre elles via la meme pfsense

                    Faites un schéma. Expliquer cela avec le vocabulaire professionnel. Indiquer les numéros de réseaux qui doivent, ne doivent pas communiquer.

                    1 Reply Last reply Reply Quote 0
                    • J
                      jdh
                      last edited by

                      Tout cela est confus …

                      Perso, je ne teste jamais depuis l'interne, l'accès sur ip publiques.
                      Car, notamment en interne, j'ai la résolution interne et non l'externe ...

                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                      1 Reply Last reply Reply Quote 0
                      • N
                        nordlead75
                        last edited by

                        les glue serveurs sont modifiés chez gandi pour pointer sur mes DNS qui sont dans mon infra

                        d'ou une zone dite internet

                        1 Reply Last reply Reply Quote 0
                        • N
                          nordlead75
                          last edited by

                          un plan du réseau

                          1 Reply Last reply Reply Quote 0
                          • C
                            ccnet
                            last edited by

                            Et ?

                            1 Reply Last reply Reply Quote 0
                            • N
                              nordlead75
                              last edited by

                              je recommence donc

                              je fais du source routing pour que tout
                              le trafic sortant de DNS2 pass par IP WAN2 
                              le trafic sortant de DNS1 pass par IP WAN1

                              je possede 3 zones

                              une zone internet ou l'ip master est IP WAN1 et le slave est IP WAN2
                              une zone interne  ou l'ip master est IP 192.168.2.2 et le slave est 192.168.1.2
                              une zone intermediare que je n'ai pas representé sur le schema pour simplifier

                              les serveurs DNS1 et DNS2 sont interrogeable depuis l'internet pour les domaines de mon infra, ca m'evite de mettre cela en gestion chez gandi

                              donc lorsque je veux synchroniser la zone "internet" le cheminement devrait etre celui ci:

                              DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1

                              mais cela ne fonctionne pas parce que les paquets ne sortent pas par IPWAN2  car les IP WAN1 et IP WAN2 sont sur la meme passerelle (pfsense)

                              par contre lorsque j'interroge un DNS comme google, via le DNS2 ou le DNS1, la requete sort bien de la passerelle

                              ma question est : comment faire pour tous les paquets sortent systematiquement de la passerelle meme pour interroger une IP qui est quand meme dans la passerelle

                              1 Reply Last reply Reply Quote 0
                              • C
                                chris4916
                                last edited by

                                @nordlead75:

                                les serveurs DNS1 et DNS2 sont interrogeable depuis l'internet pour les domaines de mon infra, ca m'evite de mettre cela en gestion chez gandi
                                donc lorsque je veux synchroniser la zone "internet" le cheminement devrait etre celui ci:
                                DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1

                                mais cela ne fonctionne pas parce que les paquets ne sortent pas par IPWAN2  car les IP WAN1 et IP WAN2 sont sur la meme passerelle (pfsense)

                                ???  sur la même passerelle ???
                                Tu veux dire dans le même subnet ? donc sur le même segment, et donc utilisant la même route ?

                                Par ailleurs, je ne comprends pas ce que signifie "interroger google via le DNS1"  :-[
                                Tu veux dire en utilisant DNS1 comme ton DNS sur le client ?
                                Le client sur est sur quel VLAN d'ailleurs ?

                                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                1 Reply Last reply Reply Quote 0
                                • J
                                  jdh
                                  last edited by

                                  Si la question est

                                  • le trafic sortant d'un serveur interne sort de pfSense avec une ip WAN donnée
                                    la réponse est le NAT Outbound (mais ça c'est facile à trouver).

                                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                  1 Reply Last reply Reply Quote 0
                                  • N
                                    nordlead75
                                    last edited by

                                    je recommence encore une fois

                                    si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense  , je le vois en faisant un tcpdump sur la WAN1

                                    si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense  , je le vois en faisant un tcpdump sur la WAN2

                                    si je ping la WAN1 depuis DNS2 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN1  : POURQUOI ?
                                    si je ping la WAN2 depuis DNS1 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN2  : POURQUOI ?

                                    tout mon probleme vient de la justement car normalement  si je ping DNS1 depuis DNS2 le cheminement devrait etre celui ci:

                                    DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1

                                    mais ce n'est pas ce qui se passe

                                    1 Reply Last reply Reply Quote 0
                                    • J
                                      jdh
                                      last edited by

                                      si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense  , je le vois en faisant un tcpdump sur la WAN1
                                      si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense  , je le vois en faisant un tcpdump sur la WAN2

                                      Le NAT outbound est fait, ok.

                                      Le reste (ping WAN1 ou WAN2 depuis l'interne, ou DNS1 -> WAN1 -> WAN2 -> DNS2), je ne fais jamais ça.
                                      Parce que c'est des trafics ip sans aucun sens.
                                      Pour moi, un firewall c'est une traversée (LAN -> WAN ou WAN -> LAN), mais c'est surement pas un aller et retour.

                                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                      1 Reply Last reply Reply Quote 0
                                      • N
                                        nordlead75
                                        last edited by

                                        ce trafic est cohérent pour mon infra

                                        si j'avais séparé les DNS1 sur un site physique et le DNS2 sur un autre site physique j'aurais du synchroniser les zone DNS via les IP PUBLIQUE

                                        je veux faire la meme chose sauf que les machines sont physiquement au meme endroit

                                        de plus dans BIND9 j'utilise TSIG pour synchroniser les zones donc c'est je pense assez secure

                                        au dela que ce soit cohérent ou pas pour vous, pourriez vous m'aider pour que je puisse realiser ce que je veux à savoir :

                                        DNS2 –> pfsense --> IP WAN2 -->  INTERNET  <-- IP WAN1 --> pfsense --> DNS1

                                        pour moi aussi un firewall c'est une traversee (LAN -> WAN ou WAN -> LAN)  et c'est justement pas ce qui se passe

                                        si je veux vraiment que ca marche sinon je dois monter 2 pfsense avec chacun une WAN et un DNS et la ca marcherait

                                        car chaque PFSENSE ne connaitrait pas la WAN de l'autre pfsense

                                        je pourrais faire ca

                                        WAN1 --> PFSENSE 1 --> DNS1

                                        WAN2 --> PFSENSE 2 --> DNS2

                                        mais cela m'oblige a avoir de serveur physique pour les Firewall et ce que je ne veux pas

                                        1 Reply Last reply Reply Quote 0
                                        • J
                                          jdh
                                          last edited by

                                          Il est clair que seul des sites distincts pourraient justifier un tel schéma/besoin.
                                          Il est clair que c'est possible avec 2 pfsense !

                                          Le seul moyen de faire aller et retour est le NAT reflection.

                                          Tester un fonctionnement sur une base inadaptée n'est juste qu'une erreur de méthode, et ne peut que donner des informations erronées …

                                          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                          1 Reply Last reply Reply Quote 0
                                          • N
                                            nordlead75
                                            last edited by

                                            auriez vous quand meme une reponse à mon probleme ?

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.