Multi wan ; source routing



  • Bonjour à tous

    je viens vers vous car je ne trouve vraiment pas la solution à mon probleme

    Je m'explique

    Une machine avec PfSense comportant plusieurs IP publique coté WAN
    2 machines DNS1 et DNS2 sur la partie LAN mais sur des reseaux different avec des vlan distincts également

    Le DNS1 utilise l'ip publique IP1 et la GW associée
    le DNS2 utilise l'ip publique IP2 et la GW associée

    le DNS1 est le primaire
    le DNS2 est le secondaire

    lors que je veux effectuer le transfert de zone entre le DNS2 et le DNS1 pour la zone dite INTERNET, la requete ne passe pas

    En gros comment forcer pour que les deux IP publiques etant sur la meme machine ne se voient pas

    merci de vos reponses

    schema

    IP1 –-> PFSENSE --> VLAN1 (LAN) 172.0.8.0 --> DNS1
    IP2 ---> PFSENSE --> VLAN2 (LAN) 172.0.9.0 --> DNS2



  • Je comprend l'ensemble mais je lis des choses contradictoires et finalement je ne comprend rien.

    Le propre de deux dns, un primaire et un secondaire c'est de communiquer. Or vous avez opté pour un schéma qui par construction exclue cette communication.

    le transfert de zone entre le DNS2 et le DNS1 pour la zone dite INTERNET, la requete ne passe pas

    et

    En gros comment forcer pour que les deux IP publiques etant sur la meme machine ne se voient pas

    Sur le réseau publique opérateur vous n'avez pas la maitrise du routage, ni du filtrage.
    Après lecture de ces deux phrases je ne comprend strictement plus rien.

    ne se voient pas

    Je comprend encore moins ce que cela signifie.
    Utilisez le formulaire et expliquez le besoin fonctionnel.



  • c'est assez dure a expliquer comme ca

    en gros sur mes DNS j'ai 3 zones

    une zone interne
    une zone externe
    une zone internet

    chaque zone se synchronise correctement sauf la zone internet

    pour la zone interne le master est en 192.168.100.0
    pour la zone externe le master est en 192.168.1.0
    pour la zone internet le master est en IP PUBLIQUE

    donc le slave se sychronise sur le master sur les deux zone interne et externe

    mais pour la zone internet
    normalement, le slave doit interroger l'IP PUBLIQUE du master de cette facon

    SLAVE(DNS2) –> LAN2 (VLAN2) --> IP PUBLIQUE 2 --> GATEWAY2 puis arriver  sur IP PUBLIQUE 1 --> LAN1(VLAN1) --> MASTER(DNS1)

    mais comme les IP PUBLIQUE sont sur la meme machine (PFSENSE) ca ne passe pas et je ne comprends pas pourquoi

    de DNS2 si je ping DNS1 ca marche mais en faisant un Tcpdump sur les interfaces WAN je ne vois aucun trafic

    si par contre je ping une ip autre que celle qui sont dans la pfsense ca sort correctement

    j'essaie d'etre plus clair mais j'ai un peux de mal je l'avoue



  • une zone interne
    une zone externe
    une zone internet

    Toujours pas clair !

    donc le slave se sychronise sur le master sur les deux zone interne et externe

    3 zones, deux ou trois dns (je ne comprend pas) ?

    Par ailleurs cette architecture réseau est un non sens. Faire transiter les mises à jour entre deux dns internes via le réseau externe (internet) est une opération à risque.
    Je doute que vous ayez d’extraordinaires besoins avec vos dns. Suffisamment extraordinaires pour qu'on ne puisse les traiter dans une architecture saine.



  • Pour mon entreprise (multi-sites y compris étranger), je gère

    • des zones DNS publiques : hébergées chez des hébergeurs usuels
    • des zones DNS internes : sur serveurs DC Windows (dhcp+dns pour mise à jour)

    Il m'arrive de faire du split en définissant localement une définition différente : exemple wpad local à chaque site

    Dernier point : DNS utilise 53/udp mais aussi 53/tcp pour certaines fonctions dont le transfert de zones …



  • le probleme n'est pas le DNS

    c'est juste que la pfsense ne joue pas le role que je veux

    clairement je veux que les IP publiques ne se voient pas entre elles via la meme pfsense

    alors que la si depuis DNS1 je fais une requete sur l'ip publique de DNS2 ca passe en interne de la pfsense car les IP Publiques sont sur la meme machine

    je n'arrive pas plus que ca a vous expliquer, de vive voix cela serait plus simple si qq un avait un num je pourrais expliquer plus facilement

    merci en tout cas de votre aide et de l'effort pour essayer de m'aider



  • une precision

    lorsque je ping l'IP PUBLIQUE 2 via DNS1 ca repond mais en faisant un tcpdump sur la partie WAN de l'ip publique 2 , il n'y a rien donc on voit bien que les paquets ne sortent pas de la partie WAN



  • clairement je veux que les IP publiques ne se voient pas entre elles via la meme pfsense

    Faites un schéma. Expliquer cela avec le vocabulaire professionnel. Indiquer les numéros de réseaux qui doivent, ne doivent pas communiquer.



  • Tout cela est confus …

    Perso, je ne teste jamais depuis l'interne, l'accès sur ip publiques.
    Car, notamment en interne, j'ai la résolution interne et non l'externe ...



  • les glue serveurs sont modifiés chez gandi pour pointer sur mes DNS qui sont dans mon infra

    d'ou une zone dite internet



  • un plan du réseau



  • Et ?



  • je recommence donc

    je fais du source routing pour que tout
    le trafic sortant de DNS2 pass par IP WAN2 
    le trafic sortant de DNS1 pass par IP WAN1

    je possede 3 zones

    une zone internet ou l'ip master est IP WAN1 et le slave est IP WAN2
    une zone interne  ou l'ip master est IP 192.168.2.2 et le slave est 192.168.1.2
    une zone intermediare que je n'ai pas representé sur le schema pour simplifier

    les serveurs DNS1 et DNS2 sont interrogeable depuis l'internet pour les domaines de mon infra, ca m'evite de mettre cela en gestion chez gandi

    donc lorsque je veux synchroniser la zone "internet" le cheminement devrait etre celui ci:

    DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1

    mais cela ne fonctionne pas parce que les paquets ne sortent pas par IPWAN2  car les IP WAN1 et IP WAN2 sont sur la meme passerelle (pfsense)

    par contre lorsque j'interroge un DNS comme google, via le DNS2 ou le DNS1, la requete sort bien de la passerelle

    ma question est : comment faire pour tous les paquets sortent systematiquement de la passerelle meme pour interroger une IP qui est quand meme dans la passerelle



  • @nordlead75:

    les serveurs DNS1 et DNS2 sont interrogeable depuis l'internet pour les domaines de mon infra, ca m'evite de mettre cela en gestion chez gandi
    donc lorsque je veux synchroniser la zone "internet" le cheminement devrait etre celui ci:
    DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1

    mais cela ne fonctionne pas parce que les paquets ne sortent pas par IPWAN2  car les IP WAN1 et IP WAN2 sont sur la meme passerelle (pfsense)

    ???  sur la même passerelle ???
    Tu veux dire dans le même subnet ? donc sur le même segment, et donc utilisant la même route ?

    Par ailleurs, je ne comprends pas ce que signifie "interroger google via le DNS1"  :-[
    Tu veux dire en utilisant DNS1 comme ton DNS sur le client ?
    Le client sur est sur quel VLAN d'ailleurs ?



  • Si la question est

    • le trafic sortant d'un serveur interne sort de pfSense avec une ip WAN donnée
      la réponse est le NAT Outbound (mais ça c'est facile à trouver).


  • je recommence encore une fois

    si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense  , je le vois en faisant un tcpdump sur la WAN1

    si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense  , je le vois en faisant un tcpdump sur la WAN2

    si je ping la WAN1 depuis DNS2 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN1  : POURQUOI ?
    si je ping la WAN2 depuis DNS1 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN2  : POURQUOI ?

    tout mon probleme vient de la justement car normalement  si je ping DNS1 depuis DNS2 le cheminement devrait etre celui ci:

    DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1

    mais ce n'est pas ce qui se passe



  • si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense  , je le vois en faisant un tcpdump sur la WAN1
    si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense  , je le vois en faisant un tcpdump sur la WAN2

    Le NAT outbound est fait, ok.

    Le reste (ping WAN1 ou WAN2 depuis l'interne, ou DNS1 -> WAN1 -> WAN2 -> DNS2), je ne fais jamais ça.
    Parce que c'est des trafics ip sans aucun sens.
    Pour moi, un firewall c'est une traversée (LAN -> WAN ou WAN -> LAN), mais c'est surement pas un aller et retour.



  • ce trafic est cohérent pour mon infra

    si j'avais séparé les DNS1 sur un site physique et le DNS2 sur un autre site physique j'aurais du synchroniser les zone DNS via les IP PUBLIQUE

    je veux faire la meme chose sauf que les machines sont physiquement au meme endroit

    de plus dans BIND9 j'utilise TSIG pour synchroniser les zones donc c'est je pense assez secure

    au dela que ce soit cohérent ou pas pour vous, pourriez vous m'aider pour que je puisse realiser ce que je veux à savoir :

    DNS2 –> pfsense --> IP WAN2 -->  INTERNET  <-- IP WAN1 --> pfsense --> DNS1

    pour moi aussi un firewall c'est une traversee (LAN -> WAN ou WAN -> LAN)  et c'est justement pas ce qui se passe

    si je veux vraiment que ca marche sinon je dois monter 2 pfsense avec chacun une WAN et un DNS et la ca marcherait

    car chaque PFSENSE ne connaitrait pas la WAN de l'autre pfsense

    je pourrais faire ca

    WAN1 --> PFSENSE 1 --> DNS1

    WAN2 --> PFSENSE 2 --> DNS2

    mais cela m'oblige a avoir de serveur physique pour les Firewall et ce que je ne veux pas



  • Il est clair que seul des sites distincts pourraient justifier un tel schéma/besoin.
    Il est clair que c'est possible avec 2 pfsense !

    Le seul moyen de faire aller et retour est le NAT reflection.

    Tester un fonctionnement sur une base inadaptée n'est juste qu'une erreur de méthode, et ne peut que donner des informations erronées …



  • auriez vous quand meme une reponse à mon probleme ?



  • @nordlead75:

    je recommence encore une fois

    ::)  la répétition de cette formule donne l'impression que ça t'embête de devoir recommencer mais c'est aussi probablement parce que ta manière de la dire n'est pas assez claire. Si on ne comprend pas, il faut peut-être l'expliquer d'une manière différente au lieu de "répéter"  ;)

    si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense  , je le vois en faisant un tcpdump sur la WAN1
    si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense  , je le vois en faisant un tcpdump sur la WAN2

    si je ping la WAN1 depuis DNS2 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN1  : POURQUOI ?
    si je ping la WAN2 depuis DNS1 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN2  : POURQUOI ?

    tout mon probleme vient de la justement car normalement  si je ping DNS1 depuis DNS2 le cheminement devrait etre celui ci:

    DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1

    Non.
    Ton schéma, clair au demeurant, montre un montage qui fait croire que nous avons en quelque sorte, 2 environnements séparés, avec des VLAN d'un coté et des gateways différentes de l'autre.
    Mais ce n'est pas le cas.
    Si tu vais 2 pfSense disctincts avec 2 LAN distincts, ce que tu décris fonctionnerait.
    Le problème vient de ce que :

    • les règles de redirection vers une route donnée, au niveau du firewall, fonctionnent pour des routes au dela de la gateway
    • par ailleurs, comment forcer une route, au niveau du firewall, vers une adresse autre que l'adresse visée ?

    quand tu passes par pfSense qui connaît WAN2, même si tu lui dis "il faut passer par WAN1", comme WAN2 est en accès direct, les paquets ne vont jamais prendre une route différente. ça n'a pas de sens.
    Pour ce faire, il faut dire à pfSense "ce qui doit atteindre WAN1 (qui est une de ses IP WAN  :o et non pas une adresse externe) il faut passer par WAN2 (qui est l'autre IP WAN)"  et pour être complet, il faut aussi lui demander le contraire car ensuite tu vas faire le test dans l'autre sens  ;D ;D

    Si tu veux que ça fonctionne, il faut probablement une couche de NAT supplémentaire pour ne pas que les gateways (au niveau des IP publiques) soient connues  de pfSense, ce qui te permettrait de forcer des routes dans les règles de FW (note que je n'ai pas fait de test dans ce sens).



  • cela ne me gene pas du tout de répétter , c'est juste que je n'arrive pas à mieux expliquer

    je ne vais pas critiquer alors que j'ai besoin d'aide

    tu as entièrement compris mon probleme

    le but est vraiment d'isoler les réseaux mais avec le meme firewall

    bon je suis donc au point mort :(



  • @nordlead75:

    bon je suis donc au point mort :(

    Oui et non: progresser dans la compréhension des aspects techniques et des points de blocage, c'est déjà une progression significative.

    Avec ta configuration actuelle, je ne vois pas de solution "évidente".
    A ta place, j'aurais bien envie de tester une configuration avec une couche de NAT sur les interface WAN.

    L'autre option consiste à reprendre les hypothèses utilisées pour mettre en place ce type de design afin de vérifier que c'est effectivement le bon choix de design (et le seul).

    Je dis cela car je ne comprends pas la finalité d'un tel design:

    • tu veux héberger ton service DNS (publique) sur ton LAN. Pourquoi pas…
    • tu veux bien sûr disposer de 2 serveurs DNS afin d'assurer une relative haute disponibilité de ce service => c'est une bonne idée  :)

    en revanche, ce que tu montres laisse croire (car tu n'es pas très précis sur le design) que l'accès se fait via 2 adresses IP fournies par le même ISP, dans le même range. Il est évident que dans ce cas, les efforts de duplication du service DNS seraient vains puisque si ton accès internet tombe, tes 2 adresses sont indisponibles.

    Dans le cas contraire (2 ISP différents), si au lieu de mettre tes "modem" en mode bridge, tu les mets en mode routeur, la synchro via l'adresse publique va passer par chaque ISP car pfSense ne connaît directement que les adresses dans la RFC1819 affectées aux interfaces WAN (du moins c'est ce que je me dis en y réfléchissant un peu rapidement).



  • la connexion est une fibre pro a plus de 5000E /mois, et l'ISP est imposé , il y a plusieurs bloc en /30

    c'est aussi pour cela que cette fibre est distribué avec des VLAN que je rentre dans la pfsense

    je redistribue ensuite coté LAN des VLAN bien distinct

    les machines sont ensuite stockées sur vmware , sur un gros ensemble (serveurs + san)

    je resume un peux l'infra pour mieux comprendre



  • A ce niveau de dépense, il serait très raisonnable de

    • prendre un hébergement DNS chez un hébergeur classique, ou
    • un modeste serveur dédié avec une install de base Debian + firewall + bind9

    auriez vous quand meme une reponse à mon probleme ?

    Je n'écrirais pas en français ?



  • pensez vous qu'en payant 5000E/mois , il n'y a que 2 serveurs DNS derriere l'infra

    je dis simplement que pour l'instant on parle plus du DNS que de mon probleme de firewall avec pfsense



  • Je réécris puisque vous ne lisez pas bien :

    auriez vous quand meme une reponse à mon probleme ?

    Je n'écrirais pas en français ? (dans le post précédent)

    pfsense est-il virtualisé ?
    Avez vous l'expertise nécessaire sur VMware concernant les vlan, la virtualisation de firewall ?
    Allons nous découvrir avoir d'autres informations nouvelles (qui peuvent avoir largement un rôle) ?



  • tout ce que je vous ai dit est suffisant pour m'aider au niveau de pfsense

    je vais pas vous déranger plus longtemps car plus je dévoile l'infra et plus on s’éloigne du problème pour lequel je suis ici

    je n'ai aucun probleme avec les vlans , les machines fonctionnent tres bien et font excactement ce que je veux

    sauf lorsque le trafic arrive sur pfsense dans un cas précis que j'ai expliqué plus haut



  • Visiblement vous écrire des choses ne sert à rien !
    Stop pour moi.



  • je reviendrais vers vous si je trouve la solution

    pour repondre, pfsense est sur un dell R310 non virtualisé et les machines virtuelles sont sur 2 bullion novascale avec 1TO de Ram chacun