pfSense Multi-wan Bridge, NAT, równoważenie obciążenia i CARP

Kontekst

Obecnie mam:

• 1 router pfSense 2.0.2 (na Firebox X-Peak X5000)
• 2 WAN
• 1 sieć LAN
• 3 serwery

Moje interfejsy

• WAN1 68.XX.XXX.98 do 69.XX.XXX.102
• WAN2 65.XXX.XXX.58 do 66.XXX.XXX.62
• LAN 192.168.1.XXX
• DMZ

Mój router jest skonfigurowany w następujący sposób:

• Równoważenie obciążenia za pomocą grupy bramek na podstawie tej dokumentacji .
• NAT
• Reguły dla serwerów LAN
• Mostek między WAN2 i DMZ (z zewnętrznymi adresami IP na jednym serwerze DMZ) - ale nie może komunikować się między tym serwerem a innymi serwerami w sieci LAN przechodzącymi przez zewnętrzny adres IP. Dzięki niestandardowej konfiguracji trasy byłem w stanie obsłużyć żądania z sieci LAN do serwera w DMZ, ale nie lubię tego robić w ten sposób.

Moje serwery używają lokalnych adresów IP 192.168.1.XXX, więc to samo dotyczy moich komputerów.

Przy nadziei

Chciałbym zrobić dwie rzeczy:

1 Połącz dwie sieci WAN z DMZ i LAN za NAT

Chcę mieć możliwość przypisywania zewnętrznych adresów IP do serwerów oraz możliwość mieszania adresów IP do tego samego serwera z obu sieci WAN. Chciałbym również móc komunikować się z serwerami z przykładu sieci LAN:

192.168.1.100 <--> http://68.XX.XXX.99

Możliwość komunikacji z serwera na inny serwer:

65.XXX.XXX.59 <--> http://68.XX.XXX.99

• Czy będę musiał dedykować jeden zewnętrzny adres IP dla komputerów w sieci LAN za NAT?
• Czy będę w stanie utrzymać funkcję równoważenia obciążenia dla NAT?

Uwaga: Chciałbym uniknąć translacji NAT typu jeden do jednego, ponieważ lokalne adresy IP na serwerze komplikują konfigurację wirtualnego hostingu, więc wolę mieć adresy zewnętrzne.

2 Redundancja sprzętowa routera (CARP)

Mam jeszcze jeden identyczny Firebox X-Peak X5000 i chciałbym umieścić go jako kopię zapasową, jeśli pierwszy zawiedzie, drugi może przejąć bez (lub prawie) utraty sieci (tzn. Żądania z zewnątrz do serwera muszą działać, także z sieci LAN i serwerów do Internetu).

Przeczytałem tę dokumentację , ale nie mam pojęcia, czy może ona działać z moją konfiguracją (Bridge + NAT + równoważenie obciążenia)

Można to całkiem ładnie wyjaśnić, używając NAT (jeden na jeden) (lub statyczny). Twoje interfejsy byłyby skonfigurowane tak, jak są obecnie, jedyną różnicą jest to, że nie przełączysz interfejsów WAN / DMZ.

Jedyne, czego to nie osiągnie, to umożliwienie mówienia z przestrzeni adresowej LAN do zewnętrznej przestrzeni adresowej. Zakładam, że problem, być może żądanie DNS zwraca adres zewnętrzny? W takim przypadku można zmienić konfigurację BIND, tak aby zawierała dwa różne widoki - wewnętrzny i zewnętrzny - w celu zapewnienia różnych zwrotów w zależności od źródła żądania DNS.

Uważam, że jedynym innym rozwiązaniem - aby uzyskać wszystko, o co tutaj prosisz - jest przydzielenie przez obu dostawców usług internetowych kolejnego bloku adresów, który byłby używany w interfejsie DMZ.

Jeśli chodzi o bit awarii sprzętu, powinno to działać poprawnie, o ile interfejsy są podłączone w tym samym obszarze L2, co zapora ogniowa. Wygląda na to, że jest aktywny / pasywny, więc powinno być dobrze.

W przypadku mostu Multi-wan + NAT + równoważenia obciążenia można go skonfigurować w następujący sposób:

1 Utwórz interfejs DMZ

• Typ konfiguracji IPv4: Brak

2 Utwórz most

• Interfejsy
• Przydzielać
• Mosty
• Dodaj
• Wybierz WAN1, WAN2 i DMZ

3 reguły zapory ogniowej

Odblokuj niezbędne porty i pozwól im na odpowiednią sieć WAN:

• Źródło : *
• Port : *
• Miejsce docelowe: zewnętrzny adres IP

Przy tej konfiguracji serwery w strefie DMZ mogą teraz pracować z publicznymi adresami IP. Jedyną wadą jest to, że nie mam dostępu do hostów w DMZ z sieci LAN.