pfSense Multi-Wan Bridge, NAT, Lastausgleich und CARP

Kontext

Ich habe derzeit:

• 1 pfSense 2.0.2-Router (auf einer Firebox X-Peak X5000)
• 2 WAN
• 1 LAN
• 3 Server

Meine Schnittstellen

• WAN1 68.XX.XXX.98 bis 69.XX.XXX.102
• WAN2 65.XXX.XXX.58 bis 66.XXX.XXX.62
• LAN 192.168.1.XXX
• DMZ

Mein Router ist folgendermaßen konfiguriert:

• Lastausgleich mit einer Gateway-Gruppe basierend auf dieser Dokumentation .
• NAT
• Regeln für LAN-Server
• Brücke zwischen WAN2 und DMZ (mit externen IPs auf einem DMZ-Server) - kann jedoch nicht zwischen diesem Server und anderen Servern im LAN über eine externe IP-Adresse kommunizieren. Mit einer benutzerdefinierten Routenkonfiguration konnte ich Anforderungen vom LAN an den Server in der DMZ verarbeiten, aber ich mag es nicht, dies so zu tun.

Meine Server verwenden lokale IP-Adressen 192.168.1.XXX, daher gilt dies auch für meine Computer.

Erwarten

Ich möchte zwei Dinge tun:

1 Überbrücken Sie die beiden WANs mit einer DMZ und einem LAN hinter NAT

Ich möchte die Möglichkeit, Servern externe IP-Adressen zuzuweisen und IPs von beiden WANs auf denselben Server zu mischen. Ich möchte auch über das LAN-Beispiel mit Servern kommunizieren können:

192.168.1.100 <--> http://68.XX.XXX.99

Sie können auch vom Server zu einem anderen Server kommunizieren. Beispiel:

65.XXX.XXX.59 <--> http://68.XX.XXX.99

• Muss ich eine externe IP-Adresse für Computer im LAN hinter NAT reservieren?
• Kann ich den Lastausgleich für NAT fortsetzen?

Hinweis: Ich möchte Eins-zu-Eins-NAT vermeiden. Lokale IP-Adressen auf dem Server erschweren die Konfiguration des virtuellen Hostings, daher bevorzuge ich externe Adressen.

2 Redondanz der Router-Hardware (CARP)

Ich habe eine weitere Firebox X-Peak X5000 identisch und möchte sie als Backup verwenden. Wenn die erste fehlschlägt, kann die zweite übernehmen, ohne das Netzwerk (oder fast) zu verlieren (dh Anforderungen von außen an den Server müssen funktionieren). auch von LAN und Servern ins Internet).

Ich habe diese Dokumentation gelesen , aber ich habe keine Ahnung, ob sie mit meiner Konfiguration funktionieren könnte (Bridge + NAT + Lastausgleich).

Dies könnte sehr gut durch die Verwendung eines Eins-zu-Eins-NAT (oder eines statischen NAT) geklärt werden. Ihre Schnittstellen würden genauso eingerichtet sein wie derzeit. Der einzige Unterschied besteht darin, dass Sie die WAN / DMZ-Schnittstellen nicht überbrücken würden.

Das einzige, was dadurch nicht erreicht wird, ist, dass Sie vom LAN-Adressraum zu Ihrem externen Adressraum sprechen können. Ich gehe davon aus, dass das Problem besteht, dass möglicherweise eine DNS-Anfrage die externe Adresse zurückgibt. Wenn dies der Fall ist, können Sie Ihre BIND-Konfiguration so ändern, dass sie zwei verschiedene Ansichten enthält - eine interne und eine externe -, um je nach Quelle der DNS-Anforderung unterschiedliche Rückgaben zu erzielen.

Ich glaube, die einzige andere Lösung - um alles zu bekommen, was Sie hier verlangen - besteht darin, dass beide ISPs Ihnen einen weiteren Adressblock zuweisen, den Sie auf Ihrer DMZ-Schnittstelle verwenden würden.

Das Hardwarefehlerbit sollte einwandfrei funktionieren, solange Ihre Schnittstellen im selben L2-Bereich wie die erste Firewall verbunden sind. Es klingt wie es aktiv / passiv ist, also sollte dies in Ordnung sein.

Für die Multi-WAN-Brücke + NAT + Lastausgleich kann wie folgt eingerichtet werden:

1 Erstellen Sie eine DMZ-Schnittstelle

• IPv4-Konfigurationstyp: Keine

2 Erstellen Sie eine Brücke

• Schnittstellen
• Zuordnen
• Brücken
• Hinzufügen
• Wählen Sie WAN1, WAN2 und DMZ

3 Firewall-Regeln

Entsperren Sie die erforderlichen Ports und lassen Sie sie im entsprechenden WAN zu:

• Quelle : *
• Hafen : *
• Ziel: Externe IP-Adresse

Mit dieser Konfiguration können Server in der DMZ jetzt mit öffentlichen IP-Adressen arbeiten. Der einzige Nachteil ist, dass ich über das LAN nicht auf Hosts in der DMZ zugreifen kann.