pfSense multi-wan Köprüsü, NAT, Yük dengeleme ve CARP


9

bağlam

Şu anda var:

  • 1 pfSense 2.0.2 yönlendirici (Firebox X-Peak X5000'de)
  • 2 WAN
  • 1 LAN
  • 3 Sunucu

Arayüzlerim

  • WAN1 68.XX.XXX.98 - 69.XX.XXX.102
  • WAN2 65.XXX.XXX.58 ila 66.XXX.XXX.62
  • LAN 192.168.1.XXX
  • DMZ

Yönlendiricim şu şekilde yapılandırıldı:

  • Bu belgelere dayanarak bir Ağ Geçidi grubu ile yük dengeleme .
  • NAT
  • LAN sunucularına yönelik kurallar
  • WAN2 ve DMZ arasında köprü (bir DMZ sunucusundaki harici IP'lerle) - ancak bu sunucu ile LAN üzerindeki harici IP adresinden geçen diğer sunucular arasında iletişim kuramaz. Özel bir yol yapılandırmasıyla, DMZ'de LAN'dan sunucuya istekleri işleyebildim, ancak bunu böyle yapmaktan hoşlanmıyorum.

Sunucularım yerel IP adreslerini kullanıyor 192.168.1.XXX, bu yüzden bilgisayarlarım için de aynı.

beklemek

İki şey yapmak istiyorum:

1 NAT'ın arkasında bir DMZ ve LAN ile iki WAN'ı köprü haline getirin

Harici IP adreslerini sunucularla ilişkilendirme ve IP'leri her iki WAN'dan aynı sunucuya karıştırma olanağı istiyorum. Ayrıca LAN örneğinden sunucularla iletişim kurmak istiyorum:

192.168.1.100 <--> http://68.XX.XXX.99

Ayrıca sunucudan başka bir sunucu örneğine iletişim kurabilmek:

65.XXX.XXX.59 <--> http://68.XX.XXX.99
  • NAT'ın arkasındaki LAN'daki bilgisayarlar için bir harici IP adresi ayırmam gerekecek mi?
  • NAT için yük dengelemeyi çalıştırabilecek miyim?

Not: Sunucuda yerel IP adreslerine sahip olan bire bir NAT'lardan kaçınmak istiyorum, bu nedenle harici adreslere sahip olmayı tercih ediyorum.

2 Yönlendirici donanım redondancy (CARP)

Bir tane daha Firebox X-Peak X5000 özdeşim var ve bir yedek olarak koymak istiyorum, birincisi başarısız olursa, ikincisi ağı kaybetmeden (veya neredeyse) sunucudan gelen isteklerin çalışması gerekir, LAN ve sunuculardan internete).

Bu belgeleri okudum , ancak yapılandırmamla çalışıp çalışmayacağını bilmiyorum (Bridge + NAT + Yük dengeleme)

Yanıtlar:


2

Bu, bire bir (veya statik) NAT kullanılarak oldukça güzel bir şekilde temizlenebilir. Arabirimleriniz şu anda olduğu gibi ayarlanacaktır, tek fark WAN / DMZ arabirimlerini köprüleymemenizdir.

Bunun başaramayacağı tek şey, LAN adres alanından harici adres alanınıza konuşmanıza izin vermektir. Sorunun bir DNS isteğinin harici adresi döndürdüğünü varsayalım? Bu durumda, BIND yapılandırmanızı, DNS isteğinin kaynağına bağlı olarak farklı geri dönüşler sağlamak için iki farklı görünüm içerecek şekilde değiştirebilirsiniz - dahili ve harici -.

Diğer tek çözümün - burada istediğiniz her şeyi elde etmek için - her iki İSS'nin de DMZ arayüzünüzde kullanacağınız başka bir adres bloğu atamasını sağlamak olduğuna inanıyorum.

Donanım hatası bitine gelince, arayüzleriniz yumruk güvenlik duvarıyla aynı L2 alanına bağlı olduğu sürece bu iyi çalışmalıdır. Aktif / pasif gibi görünüyor, bu yüzden bu iyi olmalı.


Bire bir yöntem için, bundan kaçınmak istiyorum (sorumu içermelidir), ayrıca ISS başına 2 IP bloğuna sahip olabileceğimden şüpheliyim. Yapabileceğimi düşündüğüm bir şey, her ISS'de 2 WZ, DMZ için her ISS'de bir tane ve NAT için bir tane oluşturmak iyi geliyor mu?
Alexandre Lavoie

2

Çok wanlı köprü + NAT + yük dengeleme için aşağıdaki gibi ayarlanabilir:

1 DMZ arayüzü oluşturma

  • IPv4 Yapılandırma Türü: Yok

2 Bir köprü oluşturun

  • Arayüzler
  • Atamak
  • Köprüler
  • Ekle
  • WAN1, WAN2 ve DMZ'yi seçin

3 Güvenlik duvarı kuralları

Gerekli bağlantı noktalarının engelini kaldırın ve uygun WAN'da izin verin:

  • Kaynak : *
  • Liman : *
  • Hedef: Harici IP adresi

Bu yapılandırma ile DMZ'deki sunucular artık genel IP adresleriyle çalışabilir. Şimdiye kadar tek dezavantajı LAN dan DMZ ana erişemiyorum.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.