pfSense multi-wan Bridge, NAT, балансування навантаження та CARP

Контекст

На даний момент у мене є:

• 1 маршрутизатор pfSense 2.0.2 (на Firebox X-Peak X5000)
• 2 WAN
• 1 ЛВС
• 3 сервери

Мої інтерфейси

• WAN1 68.XX.XXX.98 до 69.XX.XXX.102
• WAN2 від 65.XXX.XXX.58 до 66.XXX.XXX.62
• LAN 192.168.1.XXX
• ДМЗ

Мій маршрутизатор налаштований так:

• Завантажте балансування за допомогою групи шлюзів на основі цієї документації .
• NAT
• Правила для локальних серверів
• Міст між WAN2 та DMZ (із зовнішніми IP-адресами на одному сервері DMZ) - але не може спілкуватися між цим сервером та іншими серверами в локальній мережі, проходячи по зовнішній IP-адресі. Маючи власну конфігурацію маршруту, я міг обробляти запити від локальної мережі до сервера на DMZ, але мені не подобається робити це так.

Мої сервери використовують локальні IP-адреси 192.168.1.XXX, так само для моїх комп'ютерів.

Очікуємо

Я хотів би зробити дві речі:

1 З'єднайте дві WAN за допомогою DMZ та LAN за NAT

Я хочу, щоб можливість віднести зовнішні IP-адреси до серверів, а також можливість змішувати IP-адреси до одного сервера з обох WAN. Я також хотів би мати можливість спілкуватися з серверами з прикладу локальної мережі:

192.168.1.100 <--> http://68.XX.XXX.99

Також можливість спілкуватися з сервера на інший приклад сервера:

65.XXX.XXX.59 <--> http://68.XX.XXX.99

• Чи потрібно мені присвятити одну зовнішню IP-адресу для комп’ютерів у локальній мережі за NAT?
• Чи зможу я тримати балансування навантаження, що працює для NAT?

Примітка: Я хотів би уникати NAT один на один, оскільки локальні IP-адреси на сервері ускладнюють конфігурацію віртуального хостингу, тому я вважаю за краще зовнішні адреси.

2 оновлення апаратного маршрутизатора (CARP)

У мене є ще одна Firebox X-Peak X5000, однакова, і я хотів би поставити її як резервну копію, якщо перша не вдасться, друга може перейняти без (або майже) втрачаючу мережу (тобто запити ззовні на сервер повинні працювати, також від локальної мережі та серверів до Інтернету).

Я читав цю документацію , але не маю уявлення, чи може вона працювати з моєю конфігурацією (Bridge + NAT + балансування завантаження)

Це можна зробити досить непогано за допомогою індивідуального NAT (або статичного) NAT. Ваші інтерфейси були б налаштовані такими, як є в даний час, лише різниця полягає в тому, що ви не зможете з'єднати інтерфейси WAN / DMZ.

Єдине, чого цього не вдасться зробити, це дозволяти вам говорити з адресного простору локальної мережі до вашого зовнішнього адресного простору. Я припускаю, що проблема, можливо, запит DNS повертає зовнішню адресу? Якщо це так, ви можете змінити конфігурацію BIND, щоб вона включала два різних представлення даних - внутрішній та зовнішній - для надання різних повернень на основі джерела запиту DNS.

Я вважаю, що єдине інше рішення - отримати все, про що ви тут просите, - це щоб обидва провайдери присвоїли вам ще один блок адрес, який ви використовували б у своєму інтерфейсі DMZ.

Що стосується апаратного біту відмов, то це повинно працювати нормально, доки ваші інтерфейси підключені в тій самій області L2, що і кулаковий брандмауер. Це здається активним / пасивним, тому це повинно бути добре.

Для мосту з декількома ванами + балансування навантаження + NAT, його можна налаштувати так:

1 Створіть інтерфейс DMZ

• Тип конфігурації IPv4: Немає

2 Створіть міст

• Інтерфейси
• Призначити
• Мости
• Додайте
• Виберіть WAN1, WAN2 та DMZ

3 правила брандмауера

Розблокуйте необхідні порти та введіть їх у відповідну мережу WAN:

• Джерело: *
• Порт: *
• Місце призначення: зовнішня IP-адреса

З цією конфігурацією сервери на DMZ тепер можуть працювати з загальнодоступними IP-адресами. Єдиний недолік поки що - я не можу отримати доступ до хостів на DMZ з локальної мережі.