Puente pfSense multi-wan, NAT, equilibrio de carga y CARP

9

Contexto

Actualmente tengo:

  • 1 enrutador pfSense 2.0.2 (en un Firebox X-Peak X5000)
  • 2 WAN
  • 1 LAN
  • 3 servidores

Mis interfaces

  • WAN1 68.XX.XXX.98 a 69.XX.XXX.102
  • WAN2 65.XXX.XXX.58 a 66.XXX.XXX.62
  • LAN 192.168.1.XXX
  • DMZ

Mi enrutador está configurado de esta manera:

  • Balanceo de carga con un grupo Gateway basado en esta documentación .
  • NAT
  • Reglas para servidores LAN
  • Puente entre WAN2 y DMZ (con IP externas en un servidor DMZ), pero no puede comunicarse entre este servidor y otros servidores en LAN pasando por una dirección IP externa. Con una configuración de ruta personalizada, he podido manejar solicitudes de LAN a servidor en DMZ, pero no me gusta hacerlo así.

Mis servidores están usando direcciones IP locales 192.168.1.XXX, lo mismo para mis computadoras.

Esperando

Me gustaría hacer dos cosas:

1 Puentee las dos WAN con una DMZ y LAN detrás de NAT

Quiero la posibilidad de atribuir direcciones IP externas a los servidores, y la posibilidad de mezclar IP al mismo servidor desde ambas WAN. También me gustaría poder comunicarme con servidores desde el ejemplo de LAN:

192.168.1.100 <--> http://68.XX.XXX.99

También poder comunicarse de servidor a otro servidor ejemplo:

65.XXX.XXX.59 <--> http://68.XX.XXX.99
  • ¿Tendré que dedicar una dirección IP externa para computadoras en LAN detrás de NAT?
  • ¿Podré mantener el equilibrio de carga funcionando para el NAT?

Nota: Me gustaría evitar NAT uno a uno, tener direcciones IP locales en el servidor complica la configuración de alojamiento virtual, por lo que prefiero tener direcciones externas.

Redondencia de hardware de 2 enrutadores (CARP)

Tengo un Firebox X-Peak X5000 más idéntico, y me gustaría ponerlo como copia de seguridad, si el primero falla, el segundo podría hacerse cargo (o casi) perder la red (es decir, las solicitudes desde el exterior al servidor deben funcionar, también desde LAN y servidores a Internet).

He leído esta documentación , pero no tengo idea si podría funcionar con mi configuración (Bridge + NAT + Load balanceing)

Alexandre Lavoie
fuente

Respuestas:

2

Esto podría solucionarse bastante bien utilizando un NAT uno a uno (o estático). Sus interfaces estarían configuradas de la misma manera que en la actualidad, la única diferencia es que no conectaría las interfaces WAN / DMZ.

Lo único que esto no logrará es permitirle hablar desde el espacio de direcciones LAN a su espacio de direcciones externas. Supongo que el problema es que tal vez una solicitud de DNS está devolviendo la dirección externa. Si ese es el caso, entonces podría cambiar su configuración BIND para incluir dos vistas diferentes, una interna y externa, para proporcionar diferentes retornos en función del origen de la solicitud de DNS.

Creo que la única otra solución, para obtener todo lo que está pidiendo aquí, es que ambos ISP le asignen otro bloque de direcciones que usaría en su interfaz DMZ.

En cuanto al bit de falla de hardware, esto debería funcionar bien siempre que sus interfaces estén conectadas en la misma área L2 que el primer firewall. Parece que está activo / pasivo, así que esto debería estar bien.

bigmstone
fuente
Para el método uno a uno, me gustaría evitarlo (debería incluirlo en mi pregunta), también dudo que pueda tener 2 bloques de IP por ISP. Una cosa que creo que podría hacer es crear 4 WANS, 2 en cada ISP, uno en cada ISP para DMZ y uno para NAT, ¿suena bien?
Alexandre Lavoie
2

Para el puente multi-wan + NAT + equilibrio de carga, se puede configurar de la siguiente manera:

1 Crear una interfaz DMZ

  • Tipo de configuración de IPv4: ninguno

2 Crea un puente

  • Interfaces
  • Asignar
  • Puentes
  • Añadir
  • Seleccione WAN1, WAN2 y DMZ

3 reglas de firewall

Desbloquee los puertos necesarios y permita que entren en la WAN apropiada:

  • Fuente : *
  • Puerto : *
  • Destino: dirección IP externa

Con esa configuración, los servidores en la DMZ ahora pueden trabajar con direcciones IP públicas. El único inconveniente hasta ahora es que no puedo acceder a hosts en DMZ desde LAN.

Alexandre Lavoie
fuente