Multi wan ; source routing
-
je recommence encore une fois
::) la répétition de cette formule donne l'impression que ça t'embête de devoir recommencer mais c'est aussi probablement parce que ta manière de la dire n'est pas assez claire. Si on ne comprend pas, il faut peut-être l'expliquer d'une manière différente au lieu de "répéter" ;)
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS1 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN1
si je ping cette ip par ex 8.8.8.8 (dns google) depuis DNS2 , le trafic sort de la machine pfsense , je le vois en faisant un tcpdump sur la WAN2si je ping la WAN1 depuis DNS2 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN1 : POURQUOI ?
si je ping la WAN2 depuis DNS1 cela ping aussi mais je ne vois rien en faisant un tcpdump sur la WAN2 : POURQUOI ?tout mon probleme vient de la justement car normalement si je ping DNS1 depuis DNS2 le cheminement devrait etre celui ci:
DNS2 –> pfsense --> IP WAN2 --> IP WAN1 --> pfsense --> DNS1
Non.
Ton schéma, clair au demeurant, montre un montage qui fait croire que nous avons en quelque sorte, 2 environnements séparés, avec des VLAN d'un coté et des gateways différentes de l'autre.
Mais ce n'est pas le cas.
Si tu vais 2 pfSense disctincts avec 2 LAN distincts, ce que tu décris fonctionnerait.
Le problème vient de ce que :- les règles de redirection vers une route donnée, au niveau du firewall, fonctionnent pour des routes au dela de la gateway
- par ailleurs, comment forcer une route, au niveau du firewall, vers une adresse autre que l'adresse visée ?
quand tu passes par pfSense qui connaît WAN2, même si tu lui dis "il faut passer par WAN1", comme WAN2 est en accès direct, les paquets ne vont jamais prendre une route différente. ça n'a pas de sens.
Pour ce faire, il faut dire à pfSense "ce qui doit atteindre WAN1 (qui est une de ses IP WAN :o et non pas une adresse externe) il faut passer par WAN2 (qui est l'autre IP WAN)" et pour être complet, il faut aussi lui demander le contraire car ensuite tu vas faire le test dans l'autre sens ;D ;DSi tu veux que ça fonctionne, il faut probablement une couche de NAT supplémentaire pour ne pas que les gateways (au niveau des IP publiques) soient connues de pfSense, ce qui te permettrait de forcer des routes dans les règles de FW (note que je n'ai pas fait de test dans ce sens).
-
cela ne me gene pas du tout de répétter , c'est juste que je n'arrive pas à mieux expliquer
je ne vais pas critiquer alors que j'ai besoin d'aide
tu as entièrement compris mon probleme
le but est vraiment d'isoler les réseaux mais avec le meme firewall
bon je suis donc au point mort :(
-
bon je suis donc au point mort :(
Oui et non: progresser dans la compréhension des aspects techniques et des points de blocage, c'est déjà une progression significative.
Avec ta configuration actuelle, je ne vois pas de solution "évidente".
A ta place, j'aurais bien envie de tester une configuration avec une couche de NAT sur les interface WAN.L'autre option consiste à reprendre les hypothèses utilisées pour mettre en place ce type de design afin de vérifier que c'est effectivement le bon choix de design (et le seul).
Je dis cela car je ne comprends pas la finalité d'un tel design:
- tu veux héberger ton service DNS (publique) sur ton LAN. Pourquoi pas…
- tu veux bien sûr disposer de 2 serveurs DNS afin d'assurer une relative haute disponibilité de ce service => c'est une bonne idée :)
en revanche, ce que tu montres laisse croire (car tu n'es pas très précis sur le design) que l'accès se fait via 2 adresses IP fournies par le même ISP, dans le même range. Il est évident que dans ce cas, les efforts de duplication du service DNS seraient vains puisque si ton accès internet tombe, tes 2 adresses sont indisponibles.
Dans le cas contraire (2 ISP différents), si au lieu de mettre tes "modem" en mode bridge, tu les mets en mode routeur, la synchro via l'adresse publique va passer par chaque ISP car pfSense ne connaît directement que les adresses dans la RFC1819 affectées aux interfaces WAN (du moins c'est ce que je me dis en y réfléchissant un peu rapidement).
-
la connexion est une fibre pro a plus de 5000E /mois, et l'ISP est imposé , il y a plusieurs bloc en /30
c'est aussi pour cela que cette fibre est distribué avec des VLAN que je rentre dans la pfsense
je redistribue ensuite coté LAN des VLAN bien distinct
les machines sont ensuite stockées sur vmware , sur un gros ensemble (serveurs + san)
je resume un peux l'infra pour mieux comprendre
-
A ce niveau de dépense, il serait très raisonnable de
- prendre un hébergement DNS chez un hébergeur classique, ou
- un modeste serveur dédié avec une install de base Debian + firewall + bind9
auriez vous quand meme une reponse à mon probleme ?
Je n'écrirais pas en français ?
-
pensez vous qu'en payant 5000E/mois , il n'y a que 2 serveurs DNS derriere l'infra
je dis simplement que pour l'instant on parle plus du DNS que de mon probleme de firewall avec pfsense
-
Je réécris puisque vous ne lisez pas bien :
auriez vous quand meme une reponse à mon probleme ?
Je n'écrirais pas en français ? (dans le post précédent)
pfsense est-il virtualisé ?
Avez vous l'expertise nécessaire sur VMware concernant les vlan, la virtualisation de firewall ?
Allons nous découvrir avoir d'autres informations nouvelles (qui peuvent avoir largement un rôle) ? -
tout ce que je vous ai dit est suffisant pour m'aider au niveau de pfsense
je vais pas vous déranger plus longtemps car plus je dévoile l'infra et plus on s’éloigne du problème pour lequel je suis ici
je n'ai aucun probleme avec les vlans , les machines fonctionnent tres bien et font excactement ce que je veux
sauf lorsque le trafic arrive sur pfsense dans un cas précis que j'ai expliqué plus haut
-
Visiblement vous écrire des choses ne sert à rien !
Stop pour moi. -
je reviendrais vers vous si je trouve la solution
pour repondre, pfsense est sur un dell R310 non virtualisé et les machines virtuelles sont sur 2 bullion novascale avec 1TO de Ram chacun