MultiWan et FTP ovh: econnrefused - connexion refusée par le serveur



  • Bonjour,

    J'ai installer un pfSense avec 2 wan et 1 Lan chez un client et je suis confronté à un problème chez OVH.

    Mon client a un hébergement mutualisé chez OVH et quand il se connecte il recoit aléatoirement (mais de facon majoritaire) cette erreur avec fileZilla: "econnrefused - connexion refusée par le serveur"

    Wan1 Ip static 192.168.1.199 GW 192.168.1.1
    Wan2 Ip Static 192.168.0.199 GW 192.168.0.1
    Lan 192.168.126.0/24

    J'ai fais 3 groupes de gateway

    GW1 : Wan1 Tier1 Wan2 Tier1 - Loadbalancing
    GW2 : Wan1 Tier1 Wan2 Tier2 - Failover
    GW3 : Wan1 Tier2 Wan2 Tier1 - Failover

    Pour les règles FW J'ai essayé:

    Port 21 sur GW2 –> pas de changements
    Port 21 sur GW Wan1 --> Pas de changements

    J'ai essayé de dire à filezilla d'utilisé le mode actif en utilisant les ports de 6000 à 7000 en les redirigeant sur la GW Wan1 --> pas de changements.

    J'ai eu aussi des problèmes pour me connecter sur des sites de banques, mais ca à été résolus en mettant le port 443 sur la GW2.

    Je sais pas si vous avez toutes les infos nécessaires pour m'aider mais pour le moment je ne trouve rien de concluant sur GIYF.

    Merci à tous.

    EDIT:

    J'ai trouver une demi solution!!

    Je demande au DHCP d'attribuer toujours la même IP au poste qui a besoin d'utiliser l'acces au FTP d'OVH. (192.168.126.75)

    Je crée une règle dans le FW onglet LAN. Comme quoi tout le trafique en provenance de cette ip (192.168.216.75) doit passer par la GW2 : (Wan1 Tier1 Wan2 Tier2 - Failover)

    Ca ne me convient pas comme solution. Car ca veut dire que ce pc est "sortit" du loadbalancing, et que si un autre poste du réseau dois aller sur le FTP d'ovh il sera confronté au même problèmes.

    Dès que je trouve quelque chose de mieux je le posterais de suite ;)



  • Mon client a un hébergement mutualisé chez OVH et quand il se connecte il recoit aléatoirement (mais de facon majoritaire) cette erreur avec fileZilla: "econnrefused - connexion refusée par le serveur"

    Ce qui signifie que la connexion fonctionne "parfois" ?
    Si tel est le cas, ni pfsense (sa configuration), ou l'utilisation de Filezilla ne sont en cause.
    Par ailleurs l'usage de FTP devrait être proscrit tant ce protocole est déficient sur le plan sécurité.

    en mettant le port 443 sur la GW2.

    Je ne comprend pas ce que cela signifie.



  • @ccnet:

    Mon client a un hébergement mutualisé chez OVH et quand il se connecte il recoit aléatoirement (mais de facon majoritaire) cette erreur avec fileZilla: "econnrefused - connexion refusée par le serveur"

    Ce qui signifie que la connexion fonctionne "parfois" ?
    Si tel est le cas, ni pfsense (sa configuration), ou l'utilisation de Filezilla ne sont en cause.
    Par ailleurs l'usage de FTP devrait être proscrit tant ce protocole est déficient sur le plan sécurité.

    Je commence a comprendre un peu ce qui ce passe, je vais essayer e m'exprimer le plus clairement possible avec mes faibles connaissances.

    Ovh a une sécurité qui dis que dans une communication il ne peut y avoir qu'une seul ip wan source. Hors dans un loadbalancing il va dispatcher sur les les WANs.

    Donc je dis dans le FW que le port 21 doit passer par une seule connexion. La connexion se passe bien plus de problèmes. Mais dès que je demande de lister un dossier ou de faire un transfère de fichier il y a d'autre ports que le 21 qui rentre en compte dans une communication de façon alétoire (si j'ai bien compris). comme il n'y a pas de règle sur ces ports le loadbalancing va les dispatcher sur les deux Wan. Donc OVH va bloqué et renvoyer l'erreur "econnrefused". Je suppose qu'il font ca pour se protégé des attaques Ddos.

    Tout ceci n'est qu'une hypothèse je précise.

    J'ai trouver une solution temporaire que je vais mettre en "edit" du poste de base.

    en mettant le port 443 sur la GW2.

    Je ne comprend pas ce que cela signifie.

    Ca veut dire que j'ai mis une règles dans le fw pour forcer les communication sur le port 443 à passer par la GW2 lister au dessus cad la GW ou la wan1 est en tier 1 et la Wan 2 en tier 2. De facon a ne pas utiliser le load balancing.



  • Je demande au DHCP d'attribuer toujours la même IP au poste qui a besoin d'utiliser l'acces au FTP d'OVH. (192.168.126.75)

    je doute que le serveur chez OVH voit cette adresse !
    Vous seriez bien moins ennuyé en utilisant par exemple WINScp et de plus vous auriez quelque chose d'un peu plus sécurisé que FTP.
    Je vous engage à regarder comment fonctionne FTP, vous verrez quel est la nature du problème, selon le mode utilisé.



  • Je me suis mal exprimé.

    Ce que je veux dire c'est que je force tout le trafique sortant de cette IP lan à passé par une GW qui donne priorité a une seul connexion.

    De facon a ce que OVH recoive comme requête ne provienne que d'une seul ip wan. Car quand il y a du load balancing le serveur OVH reçois des requête provenant des 2 ip Wan pour un même job ce qui ne lui plait pas.

    Je vais améliorer mon explication dans le poste…



  • Policy routing (encore)



  • Effectivement policy routing
    mais aussi s'assurer, dans les fonctions de paramétrage avancées, que le sticky est activé pour qu'une connexion vers un serveur ne passe pas d'une gateway à l'autre sans raison.
    Dans le cas de FTP, je ne suis pas certain que ça marche bien à cause justement du mode commande et data qui sont des connexions différentes mais tu as de toutes façon besoin de ce sticky pour des trucs comme HTTP si les serveurs exposent des applications qui gèrent des sessions basées sur l'IP du client.