pfSense 멀티 완 브리지, NAT,로드 밸런싱 및 CARP

문맥

나는 현재 가지고있다 :

• 1 pfSense 2.0.2 라우터 (Firebox X-Peak X5000)
• 2 WAN
• 1 LAN
• 서버 3 대

내 인터페이스

• WAN1 68.XX.XXX.98 ~ 69.XX.XXX.102
• WAN2 65.XXX.XXX.58 ~ 66.XXX.XXX.62
• LAN 192.168.1.XXX
• DMZ

내 라우터는 다음과 같이 구성되어 있습니다 :

• 이 문서를 기반으로 게이트웨이 그룹과의로드 밸런싱 .
• NAT
• LAN 서버에 대한 규칙
• WAN2와 DMZ 간 브리지 (한 DMZ 서버에 외부 IP가 있음) –이 서버와 외부 IP 주소를 통과하는 LAN의 다른 서버간에 통신 할 수 없습니다. 사용자 지정 경로 구성을 사용하면 LAN에서 DMZ의 서버로의 요청을 처리 할 수 ​​있었지만 이렇게하는 것은 마음에 들지 않습니다.

내 서버는 로컬 IP 주소 192.168.1.XXX를 사용하므로 내 컴퓨터에서도 동일합니다.

기대

나는 두 가지 일을하고 싶다 :

1 NAT 뒤에 DMZ 및 LAN으로 두 WAN 연결

외부 IP 주소를 서버에 부여하고 두 WAN의 동일한 서버에 IP를 혼합 할 수 있기를 원합니다. LAN 예제에서 서버와 통신하고 싶습니다.

192.168.1.100 <--> http://68.XX.XXX.99

또한 서버에서 다른 서버로 통신 할 수있는 예 :

65.XXX.XXX.59 <--> http://68.XX.XXX.99

• NAT 뒤의 LAN에있는 컴퓨터의 외부 IP 주소를 하나만 사용해야합니까?
• NAT에 대한로드 밸런싱을 유지할 수 있습니까?

참고 : 일대일 NAT를 피하고 싶습니다. 서버의 로컬 IP 주소가 가상 호스팅 구성을 복잡하게하므로 외부 주소를 선호합니다.

2 라우터 하드웨어 리던던시 (CARP)

하나 이상의 Firebox X-Peak X5000이 동일하며 백업으로 저장하고 싶습니다. 첫 번째 네트워크에 장애가 발생하면 두 번째 네트워크가 네트워크를 잃지 않고 인계받을 수 있습니다 (즉, 외부에서 서버로의 요청이 작동해야 함) LAN 및 서버에서 인터넷으로).

이 문서를 읽었 지만 구성 (Bridge + NAT +로드 밸런싱)에서 작동하는지 알 수 없습니다.

이것은 일대일 (또는 정적) NAT를 사용하여 아주 잘 정리할 수 있습니다. 인터페이스는 현재와 동일하게 설정되지만 WAN / DMZ 인터페이스를 브리지하지 않는 것만 다릅니다.

이것이 달성하지 못하는 유일한 것은 LAN 주소 공간에서 외부 주소 공간으로 말할 수있게하는 것입니다. DNS 요청이 외부 주소를 반환하는 문제가 있다고 가정합니까? 이 경우 DNS 요청의 소스에 따라 다른 리턴을 제공하기 위해 내부 및 외부의 두 가지보기를 포함하도록 BIND 구성을 변경할 수 있습니다.

나는 당신이 요구하는 모든 것을 얻는 유일한 해결책은 두 ISP가 당신에게 DMZ 인터페이스에서 사용할 다른 주소 블록을 할당하도록하는 것이라고 믿는다.

하드웨어 오류 비트의 경우 인터페이스가 첫 번째 방화벽과 동일한 L2 영역에 연결되어 있으면 제대로 작동합니다. 활성 / 수동적 인 것처럼 들리므로 괜찮습니다.

다중 완 브리지 + NAT +로드 밸런싱의 경우 다음과 같이 설정할 수 있습니다.

1 DMZ 인터페이스 생성

• IPv4 구성 유형 : 없음

2 다리 만들기

• 인터페이스
• 양수인
• 교량
• 더하다
• WAN1, WAN2 및 DMZ 선택

3 방화벽 규칙

필요한 포트를 차단 해제하고 적절한 WAN에서 허용하십시오.

• 출처 : *
• 포트 : *
• 대상 : 외부 IP 주소

이 구성으로 DMZ의 서버는 이제 공용 IP 주소와 함께 작동 할 수 있습니다. 지금까지 유일한 단점은 LAN에서 DMZ의 호스트에 액세스 할 수 없다는 것입니다.