pfSense多WAN桥,NAT,负载平衡和CARP


9

语境

我目前有:

  • 1个pfSense 2.0.2路由器(在Firebox X-Peak X5000上)
  • 2个广域网
  • 1个局域网
  • 3台服务器

我的界面

  • WAN1 68.XX.XXX.98至69.XX.XXX.102
  • WAN2 65.XXX.XXX.58至66.XXX.XXX.62
  • 局域网192.168.1.XXX
  • 非军事区

我的路由器配置如下:

  • 基于此文档的网关组的负载平衡。
  • NAT
  • 局域网服务器规则
  • WAN2和DMZ(在一台DMZ服务器上具有外部IP)之间的桥接-但是无法通过外部IP地址在该服务器与LAN上的其他服务器之间进行通信。通过自定义路由配置,我已经能够处理从LAN到DMZ上的服务器的请求,但是我不喜欢这样。

我的服务器使用本地IP地址192.168.1.XXX,所以对于我的计算机也是如此。

期待中

我想做两件事:

1使用NAT之后的DMZ和LAN桥接两个WAN

我希望将外部IP地址分配给服务器,并希望将IP从两个WAN混合到同一服务器。我还希望能够通过LAN示例与服务器进行通信:

192.168.1.100 <--> http://68.XX.XXX.99

也能够从服务器到另一个服务器的通信示例:

65.XXX.XXX.59 <--> http://68.XX.XXX.99
  • 我是否需要为NAT之后的LAN上的计算机指定一个外部IP地址?
  • 我将能够保持NAT的负载平衡工作吗?

注意:我想避免一对一的NAT,因为服务器上的本地IP地址会使虚拟主机配置变得复杂,因此我更喜欢使用外部地址。

2路由器硬件冗余(CARP)

我还有一个相同的Firebox X-Peak X5000,并希望将其作为备份,如果第一个失败,第二个可以接管而不会(或几乎)失去网络(即,从外部到服务器的请求必须正常工作,以及从LAN和服务器到Internet)。

我已经阅读了本文档,但是我不知道它是否可以与我的配置一起使用(桥接+ NAT +负载平衡)

Answers:


2

通过使用一对一(或静态)NAT,可以很好地清除此问题。您的接口设置将与当前设置相同,唯一的区别是您不会桥接WAN / DMZ接口。

唯一不能完成的事情就是允许您从LAN地址空间到外部地址空间讲话。我认为问题可能在于DNS请求正在返回外部地址?如果是这种情况,则可以更改BIND配置,使其包括两个不同的视图(内部视图和外部视图),以根据DNS请求的来源提供不同的返回。

我相信,唯一的解决方案(让您在这里获得所需的一切)是让两个ISP为您分配要在DMZ接口上使用的另一个地址块。

至于硬件故障位,只要您的接口连接在与第一防火墙相同的L2区域中,就可以正常工作。听起来像是主动/被动,所以应该没问题。


对于一对一方法,我想避免使用它(应该在我的问题中包括它),我也怀疑每个ISP是否可以有2个IP块。我想我能做的一件事是在每个ISP上创建4个WANS,在每个ISP上创建2个,用于DMZ,在每个ISP上创建一个,用于NAT,听起来不错吗?
Alexandre Lavoie 2013年

2

对于多WAN桥+ NAT +负载平衡,可以按以下步骤进行设置:

1创建一个DMZ接口

  • IPv4配置类型:无

2建立桥梁

  • 介面
  • 分配
  • 桥梁
  • 选择WAN1,WAN2和DMZ

3防火墙规则

取消阻止必要的端口,并将其允许在适当的WAN中:

  • 资源 : *
  • 港口 : *
  • 目的地:外部IP地址

通过该配置,DMZ上的服务器现在可以使用公共IP地址。到目前为止,唯一的缺点是我无法从LAN访问DMZ上的主机。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.