pfSenseマルチワンブリッジ、NAT、負荷分散、CARP


9

環境

私は現在持っています:

  • 1 pfSense 2.0.2ルーター(Firebox X-Peak X5000上)
  • 2 WAN
  • 1 LAN
  • 3サーバー

私のインターフェース

  • WAN1 68.XX.XXX.98から69.XX.XXX.102
  • WAN2 65.XXX.XXX.58から66.XXX.XXX.62
  • LAN 192.168.1.XXX
  • DMZ

私のルーターは次のように構成されています:

  • このドキュメントに基づくゲートウェイグループとの負荷分散。
  • NAT
  • LANサーバーへのルール
  • WAN2とDMZの間のブリッジ(1つのDMZサーバーに外部IPがある場合)-このサーバーとLAN上の他のサーバーとの間で通信できず、外部IPアドレスを渡します。カスタムルート構成では、LANからDMZ上のサーバーへの要求を処理できましたが、このようにするのは好きではありません。

私のサーバーはローカルIPアドレスを使用している192.168.1.XXXため、私のコンピューターでも同じです。

期待している

私は2つのことをしたいと思います:

1 NATの背後にあるDMZとLANで2つのWANをブリッジします

外部IPアドレスをサーバーに割り当てる可能性と、両方のWANから同じサーバーにIPを混在させる可能性が必要です。LANの例からサーバーと通信できるようにもしたいと思います。

192.168.1.100 <--> http://68.XX.XXX.99

サーバーから別のサーバーの例に通信することもできる:

65.XXX.XXX.59 <--> http://68.XX.XXX.99
  • NATの背後にあるLAN上のコンピューターに1つの外部IPアドレスを割り当てる必要がありますか?
  • NATで負荷分散を機能させ続けることはできますか?

注:1対1のNATは避けたいです。サーバーにローカルIPアドレスを設定すると、仮想ホスティング構成が複雑になるため、外部アドレスを使用することをお勧めします。

2ルータハードウェアの冗長性(CARP)

同じFirebox X-Peak X5000がもう1つあり、それをバックアップとして使用したい場合、最初の1つが失敗した場合、2番目はネットワークを失うことなく(またはほとんど)引き継ぐことができます(つまり、外部からサーバーへの要求が機能する必要があります)。 LANやサーバーからインターネットへも)。

私はこのドキュメントを読みましたが、自分の構成(ブリッジ+ NAT +負荷分散)で動作するかどうかはわかりません

回答:


2

これは、1対1(または静的)NATを使用することにより、非常にうまくクリアできます。インターフェースは現在と同じように設定されますが、WAN / DMZインターフェースをブリッジしない点だけが異なります。

これで達成できない唯一のことは、LANアドレス空間から外部アドレス空間への会話を許可することです。DNSリクエストが外部アドレスを返しているという問題があると思いますか?その場合は、BIND構成を変更して、内部と外部の2つの異なるビューを含め、DNS要求のソースに基づいて異なる戻り値を提供することができます。

他の唯一の解決策-ここで求めているすべてのものを取得することは、両方のISPに、DMZインターフェイスで使用するアドレスの別のブロックを割り当てさせることだと思います。

ハードウェア障害ビットに関しては、インターフェースが最初のファイアウォールと同じL2エリアに接続されている限り、これは正常に機能します。それはアクティブ/パッシブのように聞こえるので、これは問題ないはずです。


1対1の方法では、それを避けたい(私の質問にそれを含める必要があります)。また、ISPごとに2つのIPブロックを持つことができるかどうかも疑問です。私ができると思うことの1つは、4つのWANを作成することです。各ISPに2つ、DMZ用に1つ、NAT用に1つずつ、いいですね。
Alexandre Lavoie 2013年

2

マルチワンブリッジ+ NAT +ロードバランシングの場合、次のように設定できます。

1 DMZインターフェースを作成する

  • IPv4構成タイプ:なし

2ブリッジを作成する

  • インターフェース
  • 割当
  • 追加
  • WAN1、WAN2、DMZを選択します

3ファイアウォールルール

必要なポートのブロックを解除し、適切なWANで許可します。

  • 出典:*
  • ポート : *
  • 宛先:外部IPアドレス

この構成により、DMZ上のサーバーはパブリックIPアドレスで動作できるようになります。これまでの唯一の欠点は、DMZ上のホストにLANからアクセスできないことです。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.