pfSense मल्टी-वॉन ब्रिज, NAT, लोड बैलेंसिंग और CARP


9

प्रसंग

वर्तमान में मेरे पास है:

  • 1 pfSense 2.0.2 राउटर (एक फायरबॉक्स X- पीक X5000 पर)
  • 2 वान
  • 1 लैन
  • 3 नौकर

मेरा इंटरफेस

  • WAN1 68.XX.XXX.98 से 69.XX.XXX.102
  • WAN2 65.XXX.XXX.58 से 66.XXX.XXX.62
  • LAN 192.168.1.XXX
  • DMZ

मेरा राउटर इस तरह कॉन्फ़िगर किया गया है:

  • इस प्रलेखन के आधार पर गेटवे समूह के साथ लोड संतुलन ।
  • नेट
  • LAN सर्वर के लिए नियम
  • WAN2 और DMZ के बीच पुल (एक DMZ सर्वर पर बाहरी आईपी के साथ) - लेकिन बाहरी IP पते से गुजरने वाले LAN पर इस सर्वर और अन्य सर्वर के बीच संवाद नहीं कर सकता। कस्टम रूट कॉन्फ़िगरेशन के साथ मैं LAN से सर्वर से DMZ पर अनुरोधों को संभालने में सक्षम हूं, लेकिन मुझे ऐसा करना पसंद नहीं है।

मेरे सर्वर स्थानीय आईपी पते का उपयोग कर रहे हैं 192.168.1.XXX, इसलिए मेरे कंप्यूटर के लिए भी ऐसा ही है।

उम्मीद

मैं दो काम करना चाहूंगा:

1 नैट के पीछे DMZ और LAN के साथ दो WANs को ब्रिज करें

मैं सर्वरों के लिए बाहरी आईपी पतों की विशेषता की संभावना चाहता हूं, और दोनों WANs से एक ही सर्वर के आईपी को मिलाने की संभावना है। मैं लैन उदाहरण से सर्वर के साथ संवाद करने में सक्षम होना चाहूंगा:

192.168.1.100 <--> http://68.XX.XXX.99

सर्वर से दूसरे सर्वर के उदाहरण के लिए भी संवाद करने में सक्षम होना:

65.XXX.XXX.59 <--> http://68.XX.XXX.99
  • क्या मुझे नेट के पीछे लैन पर कंप्यूटर के लिए एक बाहरी आईपी पता समर्पित करने की आवश्यकता होगी?
  • क्या मैं NAT के लिए लोड-बेल्डिंग को काम में रख पाऊँगा?

नोट: मैं एक-से-एक NAT से बचना चाहूंगा, सर्वर पर स्थानीय आईपी पते वर्चुअल होस्टिंग कॉन्फ़िगरेशन को जटिल करते हैं इसलिए मैं बाहरी पते रखना पसंद करता हूं।

2 राउटर हार्डवेयर रिडंडेंसी (CARP)

मेरे पास एक और फायरबॉक्स एक्स-पीक एक्स 5000 समान है, और इसे एक बैकअप के रूप में रखना चाहते हैं, यदि पहला एक विफल हो जाता है, तो दूसरा बिना (या लगभग) खोए हुए नेटवर्क पर ले जा सकता है (यानी, बाहर से सर्वर से अनुरोध करना होगा, लैन और सर्वर से इंटरनेट पर भी)।

मैंने इस दस्तावेज़ को पढ़ा है , लेकिन मुझे नहीं पता कि क्या यह मेरे विन्यास (ब्रिज + NAT + लोड संतुलन) के साथ काम कर सकता है

जवाबों:


2

यह एक-से-एक (या स्थिर) NAT का उपयोग करके काफी अच्छी तरह से साफ किया जा सकता है। आपके इंटरफ़ेस को उसी तरह सेट किया जाएगा जैसे वे वर्तमान में हैं, केवल अंतर यह है कि आप WAN / DMZ इंटरफेस को ब्रिज नहीं करेंगे।

केवल एक चीज जो इसे पूरा नहीं करेगी, वह आपको LAN एड्रेस स्पेस से आपके बाहरी एड्रेस स्पेस में बात करने की अनुमति देता है। मुझे लगता है कि वहाँ समस्या है शायद एक DNS अनुरोध बाहरी पता दे रहा है? अगर ऐसा है तो आप DNS अनुरोध के स्रोत के आधार पर अलग-अलग रिटर्न प्रदान करने के लिए दो अलग-अलग विचारों - आंतरिक और बाहरी - को शामिल करने के लिए अपने BIND कॉन्फ़िगरेशन को बदल सकते हैं।

मेरा मानना ​​है कि केवल अन्य समाधान - वह सब कुछ प्राप्त करने के लिए जो आप यहां पूछ रहे हैं - दोनों ISPs आपको उन पते के एक और ब्लॉक प्रदान करते हैं जो आप अपने DMZ इंटरफ़ेस पर उपयोग करेंगे।

हार्डवेयर विफलता बिट के लिए, यह ठीक काम करना चाहिए जब तक कि आपके इंटरफेस एक ही L2 क्षेत्र में मुट्ठी फ़ायरवॉल से जुड़े होते हैं। ऐसा लगता है कि यह सक्रिय / निष्क्रिय है इसलिए यह ठीक होना चाहिए।


एक-से-एक विधि के लिए, मैं इससे बचना चाहूंगा (इसे अपने प्रश्न में शामिल करना चाहिए), मुझे यह भी संदेह है कि मेरे पास प्रति आईएसपी में 2 आईपी ब्लॉक हो सकते हैं। एक बात जो मुझे लगता है कि मैं कर सकता हूं कि प्रत्येक ISP पर 4 WANS, 2 को प्रत्येक ISP पर DMZ के लिए एक और NAT के लिए एक, अच्छा लगता है?
अलेक्जेंड्रे लावोई

2

बहु-वान पुल + NAT + लोड संतुलन के लिए, इसे निम्नानुसार सेटअप किया जा सकता है:

1 एक DMZ इंटरफ़ेस बनाएँ

  • IPv4 कॉन्फ़िगरेशन प्रकार: कोई नहीं

2 एक पुल बनाएं

  • इंटरफेस
  • असाइन
  • पुल
  • जोड़ना
  • WAN1, WAN2 और DMZ का चयन करें

3 फ़ायरवॉल नियम

आवश्यक पोर्ट अनब्लॉक करें और उन्हें उपयुक्त WAN में अनुमति दें:

  • स्रोत: *
  • बंदरगाह : *
  • गंतव्य: बाहरी आईपी पता

उस कॉन्फ़िगरेशन के साथ, DMZ पर सर्वर अब सार्वजनिक आईपी पते के साथ काम कर सकते हैं। अभी तक केवल दोष यह है कि मैं LAN से DMZ पर मेजबानों का उपयोग नहीं कर सकता।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.