Cầu đa năng pfSense, NAT, Cân bằng tải và CARP

Bối cảnh

Tôi hiện có:

• 1 bộ định tuyến pfSense 2.0.2 (trên Firebox X-Peak X5000)
• 2 mạng
• 1 LAN
• 3 máy chủ

Giao diện của tôi

• WAN1 68.XX.XXX.98 đến 69.XX.XXX.102
• WAN2 65.XXX.XXX.58 đến 66.XXX.XXX.62
• LAN 192.168.1.XXX
• DMZ

Bộ định tuyến của tôi được cấu hình như thế này:

• Cân bằng tải với nhóm Gateway dựa trên tài liệu này .
• NAT
• Quy tắc cho máy chủ LAN
• Cầu nối giữa WAN2 và DMZ (với IP bên ngoài trên một máy chủ DMZ) - nhưng không thể giao tiếp giữa máy chủ này và các máy chủ khác trên mạng LAN đi qua địa chỉ IP bên ngoài. Với cấu hình tuyến tùy chỉnh, tôi có thể xử lý các yêu cầu từ LAN đến máy chủ trên DMZ, nhưng tôi không thích làm như vậy.

Máy chủ của tôi đang sử dụng địa chỉ IP cục bộ 192.168.1.XXX, tương tự cho các máy tính của tôi.

Mong đợi

Tôi muốn làm hai điều:

1 Kết nối hai mạng WAN với DMZ và LAN phía sau NAT

Tôi muốn có khả năng gán địa chỉ IP bên ngoài cho máy chủ và khả năng trộn IP với cùng một máy chủ từ cả hai mạng WAN. Tôi cũng muốn có thể giao tiếp với các máy chủ từ ví dụ LAN:

192.168.1.100 <--> http://68.XX.XXX.99

Cũng có thể giao tiếp từ máy chủ này sang máy chủ khác:

65.XXX.XXX.59 <--> http://68.XX.XXX.99

• Tôi có cần dành một địa chỉ IP bên ngoài cho các máy tính trong mạng LAN phía sau NAT không?
• Tôi có thể giữ cân bằng tải hoạt động cho NAT không?

Lưu ý: Tôi muốn tránh NAT một-một, có địa chỉ IP cục bộ trên máy chủ làm phức tạp cấu hình lưu trữ ảo vì vậy tôi thích có địa chỉ bên ngoài.

2 Redondancy phần cứng bộ định tuyến (CARP)

Tôi có thêm một Firebox X-Peak X5000 giống hệt nhau và muốn đặt nó làm bản sao lưu, nếu cái đầu tiên bị lỗi, cái thứ hai có thể mất mà không (hoặc gần như) mất mạng (nghĩa là các yêu cầu từ bên ngoài đến máy chủ phải hoạt động, cũng từ LAN và máy chủ đến Internet).

Tôi đã đọc tài liệu này , nhưng tôi không biết liệu nó có thể hoạt động với cấu hình của tôi không (Cân bằng tải + NAT +)

Điều này có thể được làm rõ khá độc đáo bằng cách sử dụng NAT một-một (hoặc tĩnh). Các giao diện của bạn sẽ được thiết lập giống như hiện tại, chỉ khác là bạn sẽ không kết nối các giao diện WAN / DMZ.

Điều duy nhất điều này sẽ không thực hiện được là cho phép bạn nói từ không gian địa chỉ LAN sang không gian địa chỉ bên ngoài của bạn. Tôi giả sử vấn đề có lẽ có một yêu cầu DNS đang trả về địa chỉ bên ngoài? Nếu đó là trường hợp thì bạn có thể thay đổi cấu hình BIND của mình để bao gồm hai chế độ xem khác nhau - bên trong và bên ngoài - để cung cấp các lợi nhuận khác nhau dựa trên nguồn của yêu cầu DNS.

Tôi tin rằng giải pháp duy nhất khác - để có được mọi thứ bạn yêu cầu ở đây - là yêu cầu cả hai ISP cung cấp cho bạn một khối địa chỉ khác mà bạn sử dụng trên giao diện DMZ của mình.

Đối với bit lỗi phần cứng, điều này sẽ hoạt động tốt miễn là các giao diện của bạn được kết nối trong cùng khu vực L2 với tường lửa nắm tay. Nghe có vẻ như nó hoạt động / thụ động vì vậy điều này sẽ ổn.

Đối với cầu đa wan + NAT + cân bằng tải, nó có thể được thiết lập như sau:

1 Tạo giao diện DMZ

• Loại cấu hình IPv4: Không có

2 Tạo cầu

• Giao diện
• Chỉ định
• Cầu
• Thêm vào
• Chọn WAN1, WAN2 và DMZ

3 quy tắc tường lửa

Bỏ chặn các cổng cần thiết và cho phép chúng trong mạng WAN thích hợp:

• Nguồn: *
• Hải cảng : *
• Đích đến: Địa chỉ IP bên ngoài

Với cấu hình đó, các máy chủ trên DMZ hiện có thể hoạt động với các địa chỉ IP công cộng. Hạn chế duy nhất cho đến nay là tôi không thể truy cập máy chủ trên DMZ từ LAN.