3 votes

Mei avatar

Le cluster pfSense ne fonctionne pas avec le NAT manuel

Demandé el 28 de Juillet, 2014
Quand la question a-t-elle été
824 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai deux clusters pfSense, l'un est 2.1.4 et l'autre 2.1.3.

En directions suggèrent que NAT sortant manuel est nécessaire, mais le cluster 2.1.3 fonctionne très bien en utilisant le NAT automatique, les serveurs et tout (y compris SSH et OpenVPN).

Le cluster 2.1.4 utilise le NAT sortant manuel et cause des problèmes. Le NAT a trois règles ajoutées automatiquement - étiquetées ainsi :

  • Règle créée automatiquement pour ISAKMP - LAN to WAN
  • Règle créée automatiquement pour le LAN vers le WAN
  • Règle créée automatiquement pour localhost vers WAN

Elles ont également été créées pour notre réseau interne (192.168.6.0/24) et notre réseau de développement (10.2.0.0/8). Il y a deux règles manuelles :

  • Les adresses IP des clients OpenVPN (192.168.7.0/24) vers l'extérieur sont NATées.
  • Les IP du réseau Internet vers le réseau de développement sont NAT.

Ce cluster de pare-feu était un cluster de test - puis le primaire a été séparé pour un pare-feu de production à système unique - et est maintenant redevenu un cluster.... et a subi un certain nombre de changements d'IP en cours de route.

Les choses sont maintenant NAT à l'adresse du Cluster, mais OpenVPN utilise toujours l'adresse du primaire. Que me manque-t-il ? Dois-je revenir au NAT automatique ? Si, d'autre part, je fais passer le cluster 2.1.4 en NAT manuel (pour gérer la communication avec le secondaire via le VPN), est-ce que je vais causer des problèmes ?

EDIT Je dois noter que tout le reste semble fonctionner - y compris SSH vers l'adresse du cluster, et HTTP sortant montre l'adresse du cluster, et ainsi de suite. SSH est bien sûr le port 22 - et OpenVPN est 1194 (sur 1024). Le client OpenVPN fonctionne (VPN site à site). Il semble que ce soit uniquement le trafic sortant du serveur OpenVPN sur le port 1194 qui ne soit pas NATé.

J'ai essayé d'exécuter OpenVPN sur le port 23 avec les règles de pare-feu appropriées - et il envoie toujours les réponses à partir de l'adresse WAN, et non de l'adresse du cluster.

UPDATE J'ai mentionné ce qui n'allait pas, mais pas de manière explicite. C'est ce que j'attends :

  1. Le paquet arrive à destination de l'IP du cluster sur le port 1194.
  2. Le paquet est accepté par le serveur OpenVPN.
  3. Le paquet est renvoyé à la source depuis IP en grappe sur le port 1194.

C'est ce que je vois :

  1. Le paquet arrive à destination de l'IP du cluster sur le port 1194.
  2. Le paquet est accepté par le serveur OpenVPN.
  3. Le paquet est renvoyé à la source depuis IP primaire sur le port 1194.

Vous avez suggéré de vérifier l'adresse IP à laquelle le serveur OpenVPN est lié. N'IMPORTE QUEL et changé en IP en grappe Je ne l'ai pas encore testé.

Demandé el 28 de Juillet, 2014 par Mei

Réponse

Trop de publicités?

1voto

Mei avatar
Mei Points 4515

Le problème était en fait beaucoup plus simple qu'il n'y paraissait. Le serveur OpenVPN était configuré pour écouter sur l'interface cualquier ; quand j'ai changé l'interface en IP en grappe les choses ont commencé à fonctionner. (L'interface est l'un des menus déroulants de l'onglet de configuration du serveur OpenVPN).

Cela a permis de résoudre deux problèmes qui s'étaient posés.

Tout d'abord, il écoutait "toutes" les interfaces mais pas l'IP du cluster car elle n'était pas incluse dans sa définition de "toutes". En modifiant l'interface pour écouter l'IP du cluster, le serveur n'écoute que cette interface, mais c'est le comportement souhaité de toute façon.

Deuxièmement, lorsque l'interface est répertoriée comme cualquier le système ne voit pas OpenVPN comme faisant partie du basculement. Ainsi, OpenVPN sur tous les nœuds du cluster tente de fonctionner. En convertissant l'écoute sur l'IP du cluster, le système reconnaît que l'OpenVPN doit être basculé et il fonctionne correctement sur tous les nœuds.

Problème résolu. Hourra !

Répondu el 30 de Juillet, 2014 par Mei (4515 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X