Multi wan ; source routing
-
Bonjour à tous
je viens vers vous car je ne trouve vraiment pas la solution à mon probleme
Je m'explique
Une machine avec PfSense comportant plusieurs IP publique coté WAN
2 machines DNS1 et DNS2 sur la partie LAN mais sur des reseaux different avec des vlan distincts égalementLe DNS1 utilise l'ip publique IP1 et la GW associée
le DNS2 utilise l'ip publique IP2 et la GW associéele DNS1 est le primaire
le DNS2 est le secondairelors que je veux effectuer le transfert de zone entre le DNS2 et le DNS1 pour la zone dite INTERNET, la requete ne passe pas
En gros comment forcer pour que les deux IP publiques etant sur la meme machine ne se voient pas
merci de vos reponses
schema
IP1 –-> PFSENSE --> VLAN1 (LAN) 172.0.8.0 --> DNS1
IP2 ---> PFSENSE --> VLAN2 (LAN) 172.0.9.0 --> DNS2 -
Je comprend l'ensemble mais je lis des choses contradictoires et finalement je ne comprend rien.
Le propre de deux dns, un primaire et un secondaire c'est de communiquer. Or vous avez opté pour un schéma qui par construction exclue cette communication.
le transfert de zone entre le DNS2 et le DNS1 pour la zone dite INTERNET, la requete ne passe pas
et
En gros comment forcer pour que les deux IP publiques etant sur la meme machine ne se voient pas
Sur le réseau publique opérateur vous n'avez pas la maitrise du routage, ni du filtrage.
Après lecture de ces deux phrases je ne comprend strictement plus rien.ne se voient pas
Je comprend encore moins ce que cela signifie.
Utilisez le formulaire et expliquez le besoin fonctionnel. -
c'est assez dure a expliquer comme ca
en gros sur mes DNS j'ai 3 zones
une zone interne
une zone externe
une zone internetchaque zone se synchronise correctement sauf la zone internet
pour la zone interne le master est en 192.168.100.0
pour la zone externe le master est en 192.168.1.0
pour la zone internet le master est en IP PUBLIQUEdonc le slave se sychronise sur le master sur les deux zone interne et externe
mais pour la zone internet
normalement, le slave doit interroger l'IP PUBLIQUE du master de cette faconSLAVE(DNS2) –> LAN2 (VLAN2) --> IP PUBLIQUE 2 --> GATEWAY2 puis arriver sur IP PUBLIQUE 1 --> LAN1(VLAN1) --> MASTER(DNS1)
mais comme les IP PUBLIQUE sont sur la meme machine (PFSENSE) ca ne passe pas et je ne comprends pas pourquoi
de DNS2 si je ping DNS1 ca marche mais en faisant un Tcpdump sur les interfaces WAN je ne vois aucun trafic
si par contre je ping une ip autre que celle qui sont dans la pfsense ca sort correctement
j'essaie d'etre plus clair mais j'ai un peux de mal je l'avoue
-
une zone interne
une zone externe
une zone internetToujours pas clair !
donc le slave se sychronise sur le master sur les deux zone interne et externe
3 zones, deux ou trois dns (je ne comprend pas) ?
Par ailleurs cette architecture réseau est un non sens. Faire transiter les mises à jour entre deux dns internes via le réseau externe (internet) est une opération à risque.
Je doute que vous ayez d’extraordinaires besoins avec vos dns. Suffisamment extraordinaires pour qu'on ne puisse les traiter dans une architecture saine. -
Pour mon entreprise (multi-sites y compris étranger), je gère
- des zones DNS publiques : hébergées chez des hébergeurs usuels
- des zones DNS internes : sur serveurs DC Windows (dhcp+dns pour mise à jour)
Il m'arrive de faire du split en définissant localement une définition différente : exemple wpad local à chaque site
Dernier point : DNS utilise 53/udp mais aussi 53/tcp pour certaines fonctions dont le transfert de zones …
-
le probleme n'est pas le DNS
c'est juste que la pfsense ne joue pas le role que je veux
clairement je veux que les IP publiques ne se voient pas entre elles via la meme pfsense
alors que la si depuis DNS1 je fais une requete sur l'ip publique de DNS2 ca passe en interne de la pfsense car les IP Publiques sont sur la meme machine
je n'arrive pas plus que ca a vous expliquer, de vive voix cela serait plus simple si qq un avait un num je pourrais expliquer plus facilement
merci en tout cas de votre aide et de l'effort pour essayer de m'aider
-
une precision
lorsque je ping l'IP PUBLIQUE 2 via DNS1 ca repond mais en faisant un tcpdump sur la partie WAN de l'ip publique 2 , il n'y a rien donc on voit bien que les paquets ne sortent pas de la partie WAN
-
clairement je veux que les IP publiques ne se voient pas entre elles via la meme pfsense
Faites un schéma. Expliquer cela avec le vocabulaire professionnel. Indiquer les numéros de réseaux qui doivent, ne doivent pas communiquer.
-
Tout cela est confus …
Perso, je ne teste jamais depuis l'interne, l'accès sur ip publiques.
Car, notamment en interne, j'ai la résolution interne et non l'externe ... -
les glue serveurs sont modifiés chez gandi pour pointer sur mes DNS qui sont dans mon infra
d'ou une zone dite internet
-
un plan du réseau
-
Et ?
-
je recommence donc
je fais du source routing pour que tout
le trafic sortant de DNS2 pass par IP WAN2
le trafic sortant de DNS1 pass par IP WAN1je possede 3 zones
une zone internet ou l'ip master est IP WAN1 et le slave est IP WAN2
une zone interne ou l'ip master est IP 192.168.2.2 et le slave est 192.168.1.2
une zone intermediare que je n'ai pas representé sur le schema pour simplifierles serveurs DNS1 et DNS2 sont interrogeable depuis l'internet pour les domaines de mon infra, ca m'evite de mettre cela en gestion chez gandi
donc lorsque je veux synchroniser la zone "internet" le cheminement devrait etre celui ci:
DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1
mais cela ne fonctionne pas parce que les paquets ne sortent pas par IPWAN2 car les IP WAN1 et IP WAN2 sont sur la meme passerelle (pfsense)
par contre lorsque j'interroge un DNS comme google, via le DNS2 ou le DNS1, la requete sort bien de la passerelle
ma question est : comment faire pour tous les paquets sortent systematiquement de la passerelle meme pour interroger une IP qui est quand meme dans la passerelle
-
les serveurs DNS1 et DNS2 sont interrogeable depuis l'internet pour les domaines de mon infra, ca m'evite de mettre cela en gestion chez gandi
donc lorsque je veux synchroniser la zone "internet" le cheminement devrait etre celui ci:
DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1mais cela ne fonctionne pas parce que les paquets ne sortent pas par IPWAN2 car les IP WAN1 et IP WAN2 sont sur la meme passerelle (pfsense)
??? sur la même passerelle ???
Tu veux dire dans le même subnet ? donc sur le même segment, et donc utilisant la même route ?Par ailleurs, je ne comprends pas ce que signifie "interroger google via le DNS1" :-[
Tu veux dire en utilisant DNS1 comme ton DNS sur le client ?
Le client sur est sur quel VLAN d'ailleurs ? -
Si la question est
- le trafic sortant d'un serveur interne sort de pfSense avec une ip WAN donnée
la réponse est le NAT Outbound (mais ça c'est facile à trouver).
- le trafic sortant d'un serveur interne sort de pfSense avec une ip WAN donnée
-
je recommence encore une fois
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN1
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN2
si je ping la WAN1 depuis DNS2 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN1 : POURQUOI ?
si je ping la WAN2 depuis DNS1 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN2 : POURQUOI ?tout mon probleme vient de la justement car normalement si je ping DNS1 depuis DNS2 le cheminement devrait etre celui ci:
DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1
mais ce n'est pas ce qui se passe
-
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN1
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN2Le NAT outbound est fait, ok.
Le reste (ping WAN1 ou WAN2 depuis l'interne, ou DNS1 -> WAN1 -> WAN2 -> DNS2), je ne fais jamais ça.
Parce que c'est des trafics ip sans aucun sens.
Pour moi, un firewall c'est une traversée (LAN -> WAN ou WAN -> LAN), mais c'est surement pas un aller et retour. -
ce trafic est cohérent pour mon infra
si j'avais séparé les DNS1 sur un site physique et le DNS2 sur un autre site physique j'aurais du synchroniser les zone DNS via les IP PUBLIQUE
je veux faire la meme chose sauf que les machines sont physiquement au meme endroit
de plus dans BIND9 j'utilise TSIG pour synchroniser les zones donc c'est je pense assez secure
au dela que ce soit cohérent ou pas pour vous, pourriez vous m'aider pour que je puisse realiser ce que je veux à savoir :
DNS2 –> pfsense --> IP WAN2 --> INTERNET <-- IP WAN1 --> pfsense --> DNS1
pour moi aussi un firewall c'est une traversee (LAN -> WAN ou WAN -> LAN) et c'est justement pas ce qui se passe
si je veux vraiment que ca marche sinon je dois monter 2 pfsense avec chacun une WAN et un DNS et la ca marcherait
car chaque PFSENSE ne connaitrait pas la WAN de l'autre pfsense
je pourrais faire ca
WAN1 --> PFSENSE 1 --> DNS1
WAN2 --> PFSENSE 2 --> DNS2
mais cela m'oblige a avoir de serveur physique pour les Firewall et ce que je ne veux pas
-
Il est clair que seul des sites distincts pourraient justifier un tel schéma/besoin.
Il est clair que c'est possible avec 2 pfsense !Le seul moyen de faire aller et retour est le NAT reflection.
Tester un fonctionnement sur une base inadaptée n'est juste qu'une erreur de méthode, et ne peut que donner des informations erronées …
-
auriez vous quand meme une reponse à mon probleme ?
-
je recommence encore une fois
::) la répétition de cette formule donne l'impression que ça t'embête de devoir recommencer mais c'est aussi probablement parce que ta manière de la dire n'est pas assez claire. Si on ne comprend pas, il faut peut-être l'expliquer d'une manière différente au lieu de "répéter" ;)
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN1
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN2si je ping la WAN1 depuis DNS2 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN1 : POURQUOI ?
si je ping la WAN2 depuis DNS1 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN2 : POURQUOI ?tout mon probleme vient de la justement car normalement si je ping DNS1 depuis DNS2 le cheminement devrait etre celui ci:
DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1
Non.
Ton schéma, clair au demeurant, montre un montage qui fait croire que nous avons en quelque sorte, 2 environnements séparés, avec des VLAN d'un coté et des gateways différentes de l'autre.
Mais ce n'est pas le cas.
Si tu vais 2 pfSense disctincts avec 2 LAN distincts, ce que tu décris fonctionnerait.
Le problème vient de ce que :- les règles de redirection vers une route donnée, au niveau du firewall, fonctionnent pour des routes au dela de la gateway
- par ailleurs, comment forcer une route, au niveau du firewall, vers une adresse autre que l'adresse visée ?
quand tu passes par pfSense qui connaît WAN2, même si tu lui dis "il faut passer par WAN1", comme WAN2 est en accès direct, les paquets ne vont jamais prendre une route différente. ça n'a pas de sens.
Pour ce faire, il faut dire à pfSense "ce qui doit atteindre WAN1 (qui est une de ses IP WAN :o et non pas une adresse externe) il faut passer par WAN2 (qui est l'autre IP WAN)" et pour être complet, il faut aussi lui demander le contraire car ensuite tu vas faire le test dans l'autre sens ;D ;DSi tu veux que ça fonctionne, il faut probablement une couche de NAT supplémentaire pour ne pas que les gateways (au niveau des IP publiques) soient connues de pfSense, ce qui te permettrait de forcer des routes dans les règles de FW (note que je n'ai pas fait de test dans ce sens).
-
cela ne me gene pas du tout de répétter , c'est juste que je n'arrive pas à mieux expliquer
je ne vais pas critiquer alors que j'ai besoin d'aide
tu as entièrement compris mon probleme
le but est vraiment d'isoler les réseaux mais avec le meme firewall
bon je suis donc au point mort :(
-
bon je suis donc au point mort :(
Oui et non: progresser dans la compréhension des aspects techniques et des points de blocage, c'est déjà une progression significative.
Avec ta configuration actuelle, je ne vois pas de solution "évidente".
A ta place, j'aurais bien envie de tester une configuration avec une couche de NAT sur les interface WAN.L'autre option consiste à reprendre les hypothèses utilisées pour mettre en place ce type de design afin de vérifier que c'est effectivement le bon choix de design (et le seul).
Je dis cela car je ne comprends pas la finalité d'un tel design:
- tu veux héberger ton service DNS (publique) sur ton LAN. Pourquoi pas…
- tu veux bien sûr disposer de 2 serveurs DNS afin d'assurer une relative haute disponibilité de ce service => c'est une bonne idée :)
en revanche, ce que tu montres laisse croire (car tu n'es pas très précis sur le design) que l'accès se fait via 2 adresses IP fournies par le même ISP, dans le même range. Il est évident que dans ce cas, les efforts de duplication du service DNS seraient vains puisque si ton accès internet tombe, tes 2 adresses sont indisponibles.
Dans le cas contraire (2 ISP différents), si au lieu de mettre tes "modem" en mode bridge, tu les mets en mode routeur, la synchro via l'adresse publique va passer par chaque ISP car pfSense ne connaît directement que les adresses dans la RFC1819 affectées aux interfaces WAN (du moins c'est ce que je me dis en y réfléchissant un peu rapidement).
-
la connexion est une fibre pro a plus de 5000E /mois, et l'ISP est imposé , il y a plusieurs bloc en /30
c'est aussi pour cela que cette fibre est distribué avec des VLAN que je rentre dans la pfsense
je redistribue ensuite coté LAN des VLAN bien distinct
les machines sont ensuite stockées sur vmware , sur un gros ensemble (serveurs + san)
je resume un peux l'infra pour mieux comprendre
-
A ce niveau de dépense, il serait très raisonnable de
- prendre un hébergement DNS chez un hébergeur classique, ou
- un modeste serveur dédié avec une install de base Debian + firewall + bind9
auriez vous quand meme une reponse à mon probleme ?
Je n'écrirais pas en français ?
-
pensez vous qu'en payant 5000E/mois , il n'y a que 2 serveurs DNS derriere l'infra
je dis simplement que pour l'instant on parle plus du DNS que de mon probleme de firewall avec pfsense
-
Je réécris puisque vous ne lisez pas bien :
auriez vous quand meme une reponse à mon probleme ?
Je n'écrirais pas en français ? (dans le post précédent)
pfsense est-il virtualisé ?
Avez vous l'expertise nécessaire sur VMware concernant les vlan, la virtualisation de firewall ?
Allons nous découvrir avoir d'autres informations nouvelles (qui peuvent avoir largement un rôle) ? -
tout ce que je vous ai dit est suffisant pour m'aider au niveau de pfsense
je vais pas vous déranger plus longtemps car plus je dévoile l'infra et plus on s’éloigne du problème pour lequel je suis ici
je n'ai aucun probleme avec les vlans , les machines fonctionnent tres bien et font excactement ce que je veux
sauf lorsque le trafic arrive sur pfsense dans un cas précis que j'ai expliqué plus haut
-
Visiblement vous écrire des choses ne sert à rien !
Stop pour moi. -
je reviendrais vers vous si je trouve la solution
pour repondre, pfsense est sur un dell R310 non virtualisé et les machines virtuelles sont sur 2 bullion novascale avec 1TO de Ram chacun
