pfSense多WAN桥，NAT，负载平衡和CARP

语境

我目前有：

• 1个pfSense 2.0.2路由器（在Firebox X-Peak X5000上）
• 2个广域网
• 1个局域网
• 3台服务器

我的界面

• WAN1 68.XX.XXX.98至69.XX.XXX.102
• WAN2 65.XXX.XXX.58至66.XXX.XXX.62
• 局域网192.168.1.XXX
• 非军事区

我的路由器配置如下：

• 基于此文档的网关组的负载平衡。
• NAT
• 局域网服务器规则
• WAN2和DMZ（在一台DMZ服务器上具有外部IP）之间的桥接-但是无法通过外部IP地址在该服务器与LAN上的其他服务器之间进行通信。通过自定义路由配置，我已经能够处理从LAN到DMZ上的服务器的请求，但是我不喜欢这样。

我的服务器使用本地IP地址192.168.1.XXX，所以对于我的计算机也是如此。

期待中

我想做两件事：

1使用NAT之后的DMZ和LAN桥接两个WAN

我希望将外部IP地址分配给服务器，并希望将IP从两个WAN混合到同一服务器。我还希望能够通过LAN示例与服务器进行通信：

192.168.1.100 <--> http://68.XX.XXX.99

也能够从服务器到另一个服务器的通信示例：

65.XXX.XXX.59 <--> http://68.XX.XXX.99

• 我是否需要为NAT之后的LAN上的计算机指定一个外部IP地址？
• 我将能够保持NAT的负载平衡工作吗？

注意：我想避免一对一的NAT，因为服务器上的本地IP地址会使虚拟主机配置变得复杂，因此我更喜欢使用外部地址。

2路由器硬件冗余（CARP）

我还有一个相同的Firebox X-Peak X5000，并希望将其作为备份，如果第一个失败，第二个可以接管而不会（或几乎）失去网络（即，从外部到服务器的请求必须正常工作，以及从LAN和服务器到Internet）。

我已经阅读了本文档，但是我不知道它是否可以与我的配置一起使用（桥接+ NAT +负载平衡）

通过使用一对一（或静态）NAT，可以很好地清除此问题。您的接口设置将与当前设置相同，唯一的区别是您不会桥接WAN / DMZ接口。

唯一不能完成的事情就是允许您从LAN地址空间到外部地址空间讲话。我认为问题可能在于DNS请求正在返回外部地址？如果是这种情况，则可以更改BIND配置，使其包括两个不同的视图（内部视图和外部视图），以根据DNS请求的来源提供不同的返回。

我相信，唯一的解决方案（让您在这里获得所需的一切）是让两个ISP为您分配要在DMZ接口上使用的另一个地址块。

至于硬件故障位，只要您的接口连接在与第一防火墙相同的L2区域中，就可以正常工作。听起来像是主动/被动，所以应该没问题。

对于多WAN桥+ NAT +负载平衡，可以按以下步骤进行设置：

1创建一个DMZ接口

• IPv4配置类型：无

2建立桥梁

• 介面
• 分配
• 桥梁
• 加
• 选择WAN1，WAN2和DMZ

3防火墙规则

取消阻止必要的端口，并将其允许在适当的WAN中：

• 资源 ： *
• 港口 ： *
• 目的地：外部IP地址

通过该配置，DMZ上的服务器现在可以使用公共IP地址。到目前为止，唯一的缺点是我无法从LAN访问DMZ上的主机。