pfSense Bridge multi-wan, NAT, Load balancing e CARP

Contesto

Al momento ho:

• 1 router pfSense 2.0.2 (su un Firebox X-Peak X5000)
• 2 WAN
• 1 LAN
• 3 server

Le mie interfacce

• WAN1 68.XX.XXX.98 a 69.XX.XXX.102
• WAN2 65.XXX.XXX.58 a 66.XXX.XXX.62
• LAN 192.168.1.XXX
• DMZ

Il mio router è configurato in questo modo:

• Bilanciamento del carico con un gruppo Gateway basato su questa documentazione .
• NAT
• Regole per i server LAN
• Bridge tra WAN2 e DMZ (con IP esterni su un server DMZ) - ma non è possibile comunicare tra questo server e altri server su LAN passando per indirizzo IP esterno. Con una configurazione del percorso personalizzata sono stato in grado di gestire le richieste dalla LAN al server su DMZ, ma non mi piace farlo in questo modo.

I miei server utilizzano indirizzi IP locali 192.168.1.XXX, quindi lo stesso per i miei computer.

Prevedendo

Vorrei fare due cose:

1 Bridge le due WAN con DMZ e LAN dietro NAT

Voglio la possibilità di attribuire indirizzi IP esterni ai server e la possibilità di mescolare gli IP allo stesso server da entrambe le WAN. Vorrei anche essere in grado di comunicare con i server dall'esempio LAN:

192.168.1.100 <--> http://68.XX.XXX.99

Poter anche comunicare dal server con un altro esempio di server:

65.XXX.XXX.59 <--> http://68.XX.XXX.99

• Dovrò dedicare un indirizzo IP esterno per i computer su LAN dietro NAT?
• Sarò in grado di mantenere il bilanciamento del carico funzionante per il NAT?

Nota: vorrei evitare il NAT one-to-one, poiché gli indirizzi IP locali sul server complicano la configurazione dell'hosting virtuale, quindi preferisco avere indirizzi esterni.

2 Ridondanza hardware del router (CARP)

Ho un altro Firebox X-Peak X5000 identico e vorrei metterlo come backup, se il primo fallisce, il secondo potrebbe subentrare senza (o quasi) perdere la rete (cioè, le richieste dall'esterno al server devono funzionare, anche da LAN e server a Internet).

Ho letto questa documentazione , ma non ho idea se possa funzionare con la mia configurazione (Bridge + NAT + Load balancing)

Questo potrebbe essere chiarito abbastanza bene usando un NAT one-to-one (o statico). Le tue interfacce sarebbero configurate come sono attualmente, l'unica differenza è che non collegheresti le interfacce WAN / DMZ.

L'unica cosa che ciò non sarà possibile è consentire all'utente di parlare dallo spazio degli indirizzi LAN allo spazio degli indirizzi esterni. Presumo che il problema esista forse una richiesta DNS sta restituendo l'indirizzo esterno? In tal caso, è possibile modificare la configurazione di BIND in modo da includere due diverse visualizzazioni, una interna ed esterna, per fornire rendimenti diversi in base all'origine della richiesta DNS.

Credo che l'unica altra soluzione - per ottenere tutto ciò che stai chiedendo qui - sia avere entrambi gli ISP che ti assegnino un altro blocco di indirizzi che useresti sulla tua interfaccia DMZ.

Per quanto riguarda il bit di errore hardware, questo dovrebbe funzionare bene fino a quando le interfacce sono collegate nella stessa area L2 del firewall del pugno. Sembra attivo / passivo, quindi dovrebbe andare bene.

Per il bridge multi-wan + NAT + bilanciamento del carico, può essere impostato come segue:

1 Creare un'interfaccia DMZ

• Tipo di configurazione IPv4: nessuno

2 Creare un ponte

• interfacce
• Assegnare
• ponti
• Inserisci
• Seleziona WAN1, WAN2 e DMZ

3 regole del firewall

Sblocca le porte necessarie e consentile nella WAN appropriata:

• Fonte : *
• Porto: *
• Destinazione: indirizzo IP esterno

Con quella configurazione, i server sulla DMZ possono ora funzionare con indirizzi IP pubblici. L'unico inconveniente finora è che non riesco ad accedere agli host su DMZ dalla LAN.