Multi wan ; source routing
-
Bonjour à tous
je viens vers vous car je ne trouve vraiment pas la solution à mon probleme
Je m'explique
Une machine avec PfSense comportant plusieurs IP publique coté WAN
2 machines DNS1 et DNS2 sur la partie LAN mais sur des reseaux different avec des vlan distincts égalementLe DNS1 utilise l'ip publique IP1 et la GW associée
le DNS2 utilise l'ip publique IP2 et la GW associéele DNS1 est le primaire
le DNS2 est le secondairelors que je veux effectuer le transfert de zone entre le DNS2 et le DNS1 pour la zone dite INTERNET, la requete ne passe pas
En gros comment forcer pour que les deux IP publiques etant sur la meme machine ne se voient pas
merci de vos reponses
schema
IP1 –-> PFSENSE --> VLAN1 (LAN) 172.0.8.0 --> DNS1
IP2 ---> PFSENSE --> VLAN2 (LAN) 172.0.9.0 --> DNS2 -
Je comprend l'ensemble mais je lis des choses contradictoires et finalement je ne comprend rien.
Le propre de deux dns, un primaire et un secondaire c'est de communiquer. Or vous avez opté pour un schéma qui par construction exclue cette communication.
le transfert de zone entre le DNS2 et le DNS1 pour la zone dite INTERNET, la requete ne passe pas
et
En gros comment forcer pour que les deux IP publiques etant sur la meme machine ne se voient pas
Sur le réseau publique opérateur vous n'avez pas la maitrise du routage, ni du filtrage.
Après lecture de ces deux phrases je ne comprend strictement plus rien.ne se voient pas
Je comprend encore moins ce que cela signifie.
Utilisez le formulaire et expliquez le besoin fonctionnel. -
c'est assez dure a expliquer comme ca
en gros sur mes DNS j'ai 3 zones
une zone interne
une zone externe
une zone internetchaque zone se synchronise correctement sauf la zone internet
pour la zone interne le master est en 192.168.100.0
pour la zone externe le master est en 192.168.1.0
pour la zone internet le master est en IP PUBLIQUEdonc le slave se sychronise sur le master sur les deux zone interne et externe
mais pour la zone internet
normalement, le slave doit interroger l'IP PUBLIQUE du master de cette faconSLAVE(DNS2) –> LAN2 (VLAN2) --> IP PUBLIQUE 2 --> GATEWAY2 puis arriver sur IP PUBLIQUE 1 --> LAN1(VLAN1) --> MASTER(DNS1)
mais comme les IP PUBLIQUE sont sur la meme machine (PFSENSE) ca ne passe pas et je ne comprends pas pourquoi
de DNS2 si je ping DNS1 ca marche mais en faisant un Tcpdump sur les interfaces WAN je ne vois aucun trafic
si par contre je ping une ip autre que celle qui sont dans la pfsense ca sort correctement
j'essaie d'etre plus clair mais j'ai un peux de mal je l'avoue
-
une zone interne
une zone externe
une zone internetToujours pas clair !
donc le slave se sychronise sur le master sur les deux zone interne et externe
3 zones, deux ou trois dns (je ne comprend pas) ?
Par ailleurs cette architecture réseau est un non sens. Faire transiter les mises à jour entre deux dns internes via le réseau externe (internet) est une opération à risque.
Je doute que vous ayez d’extraordinaires besoins avec vos dns. Suffisamment extraordinaires pour qu'on ne puisse les traiter dans une architecture saine. -
Pour mon entreprise (multi-sites y compris étranger), je gère
- des zones DNS publiques : hébergées chez des hébergeurs usuels
- des zones DNS internes : sur serveurs DC Windows (dhcp+dns pour mise à jour)
Il m'arrive de faire du split en définissant localement une définition différente : exemple wpad local à chaque site
Dernier point : DNS utilise 53/udp mais aussi 53/tcp pour certaines fonctions dont le transfert de zones …
-
le probleme n'est pas le DNS
c'est juste que la pfsense ne joue pas le role que je veux
clairement je veux que les IP publiques ne se voient pas entre elles via la meme pfsense
alors que la si depuis DNS1 je fais une requete sur l'ip publique de DNS2 ca passe en interne de la pfsense car les IP Publiques sont sur la meme machine
je n'arrive pas plus que ca a vous expliquer, de vive voix cela serait plus simple si qq un avait un num je pourrais expliquer plus facilement
merci en tout cas de votre aide et de l'effort pour essayer de m'aider
-
une precision
lorsque je ping l'IP PUBLIQUE 2 via DNS1 ca repond mais en faisant un tcpdump sur la partie WAN de l'ip publique 2 , il n'y a rien donc on voit bien que les paquets ne sortent pas de la partie WAN
-
clairement je veux que les IP publiques ne se voient pas entre elles via la meme pfsense
Faites un schéma. Expliquer cela avec le vocabulaire professionnel. Indiquer les numéros de réseaux qui doivent, ne doivent pas communiquer.
-
Tout cela est confus …
Perso, je ne teste jamais depuis l'interne, l'accès sur ip publiques.
Car, notamment en interne, j'ai la résolution interne et non l'externe ... -
les glue serveurs sont modifiés chez gandi pour pointer sur mes DNS qui sont dans mon infra
d'ou une zone dite internet
-
un plan du réseau
-
Et ?
-
je recommence donc
je fais du source routing pour que tout
le trafic sortant de DNS2 pass par IP WAN2
le trafic sortant de DNS1 pass par IP WAN1je possede 3 zones
une zone internet ou l'ip master est IP WAN1 et le slave est IP WAN2
une zone interne ou l'ip master est IP 192.168.2.2 et le slave est 192.168.1.2
une zone intermediare que je n'ai pas representé sur le schema pour simplifierles serveurs DNS1 et DNS2 sont interrogeable depuis l'internet pour les domaines de mon infra, ca m'evite de mettre cela en gestion chez gandi
donc lorsque je veux synchroniser la zone "internet" le cheminement devrait etre celui ci:
DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1
mais cela ne fonctionne pas parce que les paquets ne sortent pas par IPWAN2 car les IP WAN1 et IP WAN2 sont sur la meme passerelle (pfsense)
par contre lorsque j'interroge un DNS comme google, via le DNS2 ou le DNS1, la requete sort bien de la passerelle
ma question est : comment faire pour tous les paquets sortent systematiquement de la passerelle meme pour interroger une IP qui est quand meme dans la passerelle
-
les serveurs DNS1 et DNS2 sont interrogeable depuis l'internet pour les domaines de mon infra, ca m'evite de mettre cela en gestion chez gandi
donc lorsque je veux synchroniser la zone "internet" le cheminement devrait etre celui ci:
DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1mais cela ne fonctionne pas parce que les paquets ne sortent pas par IPWAN2 car les IP WAN1 et IP WAN2 sont sur la meme passerelle (pfsense)
??? sur la même passerelle ???
Tu veux dire dans le même subnet ? donc sur le même segment, et donc utilisant la même route ?Par ailleurs, je ne comprends pas ce que signifie "interroger google via le DNS1" :-[
Tu veux dire en utilisant DNS1 comme ton DNS sur le client ?
Le client sur est sur quel VLAN d'ailleurs ? -
Si la question est
- le trafic sortant d'un serveur interne sort de pfSense avec une ip WAN donnée
la réponse est le NAT Outbound (mais ça c'est facile à trouver).
- le trafic sortant d'un serveur interne sort de pfSense avec une ip WAN donnée
-
je recommence encore une fois
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN1
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN2
si je ping la WAN1 depuis DNS2 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN1 : POURQUOI ?
si je ping la WAN2 depuis DNS1 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN2 : POURQUOI ?tout mon probleme vient de la justement car normalement si je ping DNS1 depuis DNS2 le cheminement devrait etre celui ci:
DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1
mais ce n'est pas ce qui se passe
-
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN1
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN2Le NAT outbound est fait, ok.
Le reste (ping WAN1 ou WAN2 depuis l'interne, ou DNS1 -> WAN1 -> WAN2 -> DNS2), je ne fais jamais ça.
Parce que c'est des trafics ip sans aucun sens.
Pour moi, un firewall c'est une traversée (LAN -> WAN ou WAN -> LAN), mais c'est surement pas un aller et retour. -
ce trafic est cohérent pour mon infra
si j'avais séparé les DNS1 sur un site physique et le DNS2 sur un autre site physique j'aurais du synchroniser les zone DNS via les IP PUBLIQUE
je veux faire la meme chose sauf que les machines sont physiquement au meme endroit
de plus dans BIND9 j'utilise TSIG pour synchroniser les zones donc c'est je pense assez secure
au dela que ce soit cohérent ou pas pour vous, pourriez vous m'aider pour que je puisse realiser ce que je veux à savoir :
DNS2 –> pfsense --> IP WAN2 --> INTERNET <-- IP WAN1 --> pfsense --> DNS1
pour moi aussi un firewall c'est une traversee (LAN -> WAN ou WAN -> LAN) et c'est justement pas ce qui se passe
si je veux vraiment que ca marche sinon je dois monter 2 pfsense avec chacun une WAN et un DNS et la ca marcherait
car chaque PFSENSE ne connaitrait pas la WAN de l'autre pfsense
je pourrais faire ca
WAN1 --> PFSENSE 1 --> DNS1
WAN2 --> PFSENSE 2 --> DNS2
mais cela m'oblige a avoir de serveur physique pour les Firewall et ce que je ne veux pas
-
Il est clair que seul des sites distincts pourraient justifier un tel schéma/besoin.
Il est clair que c'est possible avec 2 pfsense !Le seul moyen de faire aller et retour est le NAT reflection.
Tester un fonctionnement sur une base inadaptée n'est juste qu'une erreur de méthode, et ne peut que donner des informations erronées …
-
auriez vous quand meme une reponse à mon probleme ?
