1. Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n
  2. [RESOLU] 2 interfaces WAN, 3 modems, meilleure solution ?
This topic has been deleted. Only users with topic management privileges can see it.


  • [édité car jugé pas assez clair -> 2ème essai]

    Contexte : petite mairie, ~100 PC sur le LAN, 1 serveur, 1 pfsense 2.3.2 sur boîtier Alix 2d13 tournant depuis plusieurs années (donc évolution) avec 1 connexion ADSL (4 Mb/s) et 1 SDSL (1 Mb/s), administrateur censé maitriser le sujet mais visiblement pas assez ;)

    Besoin : l'accès internet étant régulièrement saturé et une connexion ADSL (4 Mb/s) ayant été retrouvée dans un coin, il faudrait l'ajouter aux deux déjà utilisées (ADSL et SDLS), et disposer ainsi des 3 accès derrière le boîtier Alix/pfsense.

    Schéma :
    WAN : 3 accès internet, chacun avec son modem, 1 ADSL et 1 SDSL chacun avec une IP publique configurée sur le pfsense, et la "nouvelle" ADSL avec un modem configuré avec une IP privée (192.168.x.y, distincte du LAN). Les 3 modems sont configurés par le FAI, je n'ai pas accès directement à leur configuration.
    LAN: ~ 100 postes, IP 192.168.z.0
    Entre LAN et WAN : un pfsense sur boîtier Alix 2d13 3 ports, 1 pour le LAN et 2 pour le WAN (1 par modem)
    DMZ aucune
    WiFi : n'intervient pas dans le problème
    autre interface : un accès openVPN géré par pfsense
    Règles NAT : automatic outbound (config par défaut)
    Règles firewall : orientation de trafic sur les 2 gateways selon différents critères (destination, ports, utilisateurs)
    Packages ajoutés : iftop, nmap
    Autres fonctions assignées au pfSense : DHCP, DNS forwarder, le serveur VPN cité plus haut.

    Question :

    • question d'origine : comment connecter le 3ème modem afin que l'ensemble des 3 accès internet soient gérables via le pfsense déjà en place, alors qu'il n'y a que 2 ports WAN et que les interfaces des modems sont dans des sous-réseaux différents ?
    • question réellement posée ici : ma démarche vaut-elle la peine d'être creusée ou suis-je parti dans une impasse ?
    • With Hood · Lauren Polo Boys' Striped Ralph Sweatshirt xoCedBWr

    Pistes imaginées :

    • connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) :  depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense.
    • Ii Ankle Lauren Boots Navy Men's Ralph Polo Sallers Top Dillian TJlF1Kc
    • configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.

    Logs et tests : Je peux refaire à la demande, car plusieurs jours de tests en croisant les différentes possibilités ça fait des tonnes de tests et de logs… j'ai suivi les tutos trouvés, puis je suis passé au mixage de tutos.

    Voilà, j'espère avoir mieux respecté le cadre du forum et que ma demande est un peu moins incompréhensible.

    Message d'origine :


    Bonjour,

    dans une petite mairie, un boitier Alix 2d13 (1 LAN, 2 WAN) avec pfsense 2.3.2 fait le lien entre le LAN et 2 modem/routeurs (1 ADSL 4Mb/s et 1 SDSL 1 Mb/s).
    Un autre modem/routeur ADSL est disponible, et je voudrais le rajouter derrière le pfsense.
    Les 3 modems ont des config "figées" par le fournisseur, avec des IP internes appartenant à des sous-réseaux différents (2 IP 178.x.y.z pour ceux en place et 1IP 192.168.x.y pour le nouveau).

    J'ai branché le nouveau modem sur le switch du modem ADSL déjà présent. J'ai ajouté une IP à l'interface WAN (testé IP virtuelle, CARP, proxy ARP), pfsense arrive à pinguer l'IP ajoutée et les modems, mais je n'arrive pas à faire le routage entre le LAN et les modems (la table de routage me parait pourtant correcte, et en tous cas les chemins sont identiques pour joindre les anciens et le nouveau modem).
    En configurant un NAT outbound sur l'IP ajoutée, j'arrive depuis le LAN à atteindre l'un ou l'autre modem suivant l'ordre des règles de NAT, mais pas les deux et je ne sais pas orienter le trafic avec des règles firewall.

    Y-a-t-il une chance de réussir dans cette voie, ou je me suis lancé dans une impasse et il faut obligatoirement passer par les vlan en intercalant un switch les gérant entre les modems et pfsense ?
    Merci d'avance pour toute remarque !


    Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n

  • Salut salut

    Je suis plus que perplexe avec votre post actuelle.
    Je ne comprend presque rien à votre demande.
    Je comprends surtout que vous désirez une solution sans avoir l'effort de recherche réelle et encore moins de compréhension.
    De plus je note comme votre premier post que vous ne respectiez pas non plus "la charte" de cette section https://forum.pfsense.org/index.php?topic=79600.0

    Non cordialement.

    Reply Quote 0 1 Reply Last reply Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n

  • Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n last edited by

    @Tatave:

    Je comprends surtout que vous désirez une solution sans avoir l'effort de recherche réelle et encore moins de compréhension.

    Je me suis donc très mal exprimé puisque ce n'est pas du tout le cas : j'ai beaucoup cherché, et je cherche surtout un avis "c'est la peine de continuer à chercher dans cette voie" ou "tu t'es planté, recommence en ajoutant le mot clé Y".
    Mais donc comme j'ai mal fait je recommence, juste le temps de retaper ma demande, et j'espère que ce sera plus clair.

    Reply Quote 0

    Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n

    1 Reply Last reply

  • last edited by Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n

    Le formulaire A LIRE EN PREMIER est destiné à fournir une trame de présentation à adapter selon le cas.
    C'est un peu contraignant mais cela facilite la compréhension des lecteurs … donc c'est votre intérêt.

    Ce qu'on comprend :

    • vous avez 2 WAN et vous en voulez 1 supplémentaire : il est conseillé d'avoir une interface physique réelle par interface WAN : Alix dispose-t-il de 4 interfaces ethernet (LAN + 3 WAN) ?

    (En entreprise,) Il n'est pas super judicieux de multiplier les lignes WAN. (C'est d'ailleurs conseillé par l'ANSSI cf https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/Rugby Manches Polo Longues Vert Slim À Lauren De Et Ralph Rayures R5j3qc4AL)
    Il est préférable de commander une ligne avec backup intégré : le fournisseur apporte un routeur avec 2 liaisons : la principale et celle de secours.


  • last edited by

    @jdh:

    Ce qu'on comprend :

    • vous avez 2 WAN et vous en voulez 1 supplémentaire : il est conseillé d'avoir une interface physique réelle par interface WAN : Alix dispose-t-il de 4 interfaces ethernet (LAN + 3 WAN) ?

    Non, carte 3 ports : 1 LAN et 2 WAN actuellement.

    @jdh:

    Casual Womens Bankfreebies co Ralph Shoes uk Lauren Polo CthQdxorsB

    (En entreprise,) Il n'est pas super judicieux de multiplier les lignes WAN. (C'est d'ailleurs conseillé par l'ANSSI cf https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/)
    Il est préférable de commander une ligne avec backup intégré : le fournisseur apporte un routeur avec 2 liaisons : la principale et celle de secours.

    Vu les débits locaux à 5 km du NRA en coupant par les champs, hors multiplication des liens, il n'y a pas trop d'autres solution  ;)


  • Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n
  • last edited by

    @jdh:

    (En entreprise,) Il n'est pas super judicieux de multiplier les lignes WAN. (C'est d'ailleurs conseillé par l'ANSSI cf https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/Rond Polo Ralph Lauren Shirt Chrome Col Coton Tee En Slim Yellow Fit 7ybf6vgY)

    Pourquoi pas… C'est une interprétation du texte.
    Une autre interprétation, c'est qu'il ne faut pas avoir d'accès WAN "hors contrôle". Le fait d'en avoir plusieurs rend le contrôle plus difficile... mais dans ce cas, avec tous les accès derrière le même firewall, ça ne s'applique pas.

    @Frantz:

    • est-il bien clair pour toi que l'ajout d'accès ADSL en parallèle ne va pas avoir pour conséquence une bande passante maximum triplée.
    • ça va permettre, sous certaines conditions uniquement, de faire du load-balancing mais le bénéfice n'est pas la réduction par 3 des temps de transfert.
    • un proxy est également très efficace (sauf pour le flux HTTPS bien sûr puisque ce lui-ci n'est pas en cache)

    Sur ce que tu décris, ça devrait fonctionner si tu ajoute une IP virtuelle pour créer une interface WAN supplémentaire nécessaire aux policy routing mais j'avoue ne pas avoir réfléchi à tous les détails.
    Tu peux sans problème faire le test avec tes 2 accès ADSL existants en utilisant une seule interface physique WAN avec une IP supplémentaire.


  • F
    Frantz last edited by

    @chris4916:

    @Frantz:Touch Polo Lauren Ralph Pima Shirt Soft srdxChtQ

    • est-il bien clair pour toi que l'ajout d'accès ADSL en parallèle ne va pas avoir pour conséquence une bande passante maximum triplée.
    • ça va permettre, sous certaines conditions uniquement, de faire du load-balancing mais le bénéfice n'est pas la réduction par 3 des temps de transfert.
    • un proxy est également très efficace (sauf pour le flux HTTPS bien sûr puisque ce lui-ci n'est pas en cache)

    Dans l'ordre, oui, oui et c'est prévu ;)
    J'utilise déjà le principe sur d'autres sites, là c'est vraiment l'aspect 2 modems/1 interface/pfsense qui me bloque.

    @chris4916:

    Sur ce que tu décris, ça devrait fonctionner si tu ajoute une IP virtuelle pour créer une interface WAN supplémentaire nécessaire aux policy routing mais j'avoue ne pas avoir réfléchi à tous les détails.
    Tu peux sans problème faire le test avec tes 2 accès ADSL existants en utilisant une seule interface physique WAN avec une IP supplémentaire.

    J'ai testé et je teste dans tous les sens… dans les IP virtuelles l'IP alias semble correspondre au cas d'après ce que je lis, encore un peu demain, et après plan B, la curiosité c'est bien mais faut être raisonnable aussi parfois  ;D

    Reply Quote 0 Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n 1 Reply Last reply

  • C
    chris4916 last edited by

    Ce qui serait bien, c'est que tu décrives ce qui ne marche pas si tu fais un test du genre

    En même temps, en écrivant ça, je me demande si pfSense va accepter ce genre de config…

    J'ai relu ton premier message modifié: les montages bizarres avec le LAN connecté directement à l'ADSL etc... laisse tomber ou alors oublie le FW.

    Reply Quote 0 Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n 1 Reply Last reply


  • @chris4916:

    Ce qui serait bien, c'est que tu décrives ce qui ne marche pas si tu fais un test du genre

    • LAN sur l'interface LAN de pfSense
    • les 2 liens ADSL avec 2 IP privées dan 2 subnets différents
    • 1 interface WAN avec une IP virtuelle supplémentaire. L'IP de l'interface WAN est dans le subnet de l'ADSL 1, l'IP virtuelle dans le subnet de l'interface 2

    @Frantz:

    Schéma :
    WAN : 3 accès internet, chacun avec son modem, 1 ADSL et 1 SDSL chacun avec une IP publique configurée sur le pfsense, et la "nouvelle" ADSL avec un modem configuré avec une IP privée (192.168.x.y, distincte du LAN). Les 3 modems sont configurés par le FAI, je n'ai pas accès directement à leur configuration.
    LAN: ~ 100 postes, IP 192.168.z.0
    Entre LAN et WAN : un pfsense sur boîtier Alix 2d13 3 ports, 1 pour le LAN et 2 pour le WAN (1 par modem)

    […]

    Pistes imaginées :

    • connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) :  depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense.
    • configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.

    Je ne peux que renouveler mes excuses si je ne m'exprime pas assez clairement  ;)

    @chris4916:

    En même temps, en écrivant ça, je me demande si pfSense va accepter ce genre de config…

    C'est en effet là toute la question que je (me) pose, bienvenue au club :)

    @chris4916:

    J'ai relu ton premier message modifié: les montages bizarres avec le LAN connecté directement à l'ADSL etc… laisse tomber ou alors oublie le FW.

    Pour moi, le port/switch LAN d'un modem n'est pas le réseau LAN, de là doit venir l'incompréhension. S'il y a une tournure plus claire, je la veux bien, ça m'évitera de recommencer. Port interne ça me plait pas, "port côté LAN du modem" ?


  • C
    chris4916 last edited by

    Sweatshirt Bittersweetnewport Bittersweetnewport Sweatshirt Bittersweetnewport Sweatshirt Bittersweetnewport Sweatshirt Sweatshirt Sweatshirt Bittersweetnewport wNkXO8n0P

    @Frantz:

    C'est en effet là toute la question que je (me) pose, bienvenue au club :)

    mais qu'est-ce qui t'empêche juste de le tester ???

    @chris4916:

    J'ai relu ton premier message modifié: les montages bizarres avec le LAN connecté directement à l'ADSL etc… laisse tomber ou alors oublie le FW.

    Pour moi, le port/switch LAN d'un modem n'est pas le réseau LAN, de là doit venir l'incompréhension. S'il y a une tournure plus claire, je la veux bien, ça m'évitera de recommencer. Port interne ça me plait pas, "port côté LAN du modem" ?

    Non j'ai fini par comprendre ce que tu veux dire. Je ne risquais pas de comprendre car je n'imaginais pas que tu interconnecterais les switch internes des box de cette manière. J'avais en tête que tu connectais les box sur un switch, de toute évidence ce n'est pas le cas.

    donc là, tu ajoutes, aux incertitudes du paramétrage de pfSense, l'interconnexion des switch des box… pourquoi pas.

    Le design de test qui me semble le plus simple:

    • tu configures les 2 box pour avoir une IP interne (coté LAN) dans 2 subnets différents.
    • tu connectes ces box à un switch commun auquel tu connectes également pfSense sur lequel tu as configuré 2 IP (une dans chaque subnet des box) sur la même interface physique.
    • tu t'assures que tu arrives, depuis pfSense, à parler à chaque box...

    ensuite, il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-) mais déjà le test ci-dessu devrait te donner une idée de la faisabilité. Si ça ne marche pas, il faut faire des VLAN.

    Est-ce que ça vaut bien le coup avec une ligne à 1Mb/s ?  ::)

    Reply Quote 0 1 Reply Last reply

  • Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n
    F
    Frantz Orange Active Boys Little Kids Solid Lauren 2467 Ralph Polo TK3ul1JFc last edited by

    @chris4916:

    mais qu'est-ce qui t'empêche juste de le tester ???

    @Frantz:

    • connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) :  **depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense.
    • configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.**

    Testé sur le réseau "prod" comme sur config de test, résultats identiques.

    @chris4916:

    Le design de test qui me semble le plus simple:

    • tu configures les 2 box pour avoir une IP interne (coté LAN) dans 2 subnets différents.
    • tu connectes ces box à un switch commun auquel tu connectes également pfSense sur lequel tu as configuré 2 IP (une dans chaque subnet des box) sur la même interface physique.
    • tu t'assures que tu arrives, depuis pfSense, à parler à chaque box…

    ensuite, il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-) mais déjà le test ci-dessu devrait te donner une idée de la faisabilité. Si ça ne marche pas, il faut faire des VLAN.

    Depuis pfsense, tout va bien (enfin tout, les pings, hein), depuis le LAN non, on est donc une 2ème fois parfaitement d'accord "il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-)"  :)

    @chris4916:

    Est-ce que ça vaut bien le coup avec une ligne à 1Mb/s ?  ::)

    En download on arriverait à 4 + 1 + 4, en upload 0,5 + 1 + 0,5… pour 20 à 40 utilisateurs simultannés... en répartissant bien, ça peut devenir le grand luxe ::)

    Bon, si je résume :

    • connecter un 2ème modem sur une même interface physique d'un pfsense à l'aide d'une IP virtuelle (IP alias), en théorie ça pourrait marcher d'après les (nombreuses) docs trouvées et l'avis de Chris, mais en pratique je n'ai trouvé personne qui ait testé, et mes (longs) tests sont négatifs, donc j'oublie.
    • Pour Polo Ralph Lauren Trunk 714662050029 Lot Hommes Trois MMulticolore Classic De Boxers m0wv8nN
    • la solution conseillée est bien d'intercaler un switch entre le pfsense et les modems et de faire du vlan, merci pour la confirmation.

    Merci à jdh et chris4916 pour leurs avis.
    Pour Tatave, je ne peux que lui conseiller de consulter les "Règles de la section française", qu'il trouvera là : https://forum.pfsense.org/index.php?topic=9708.0 et où il lira "Veuillez veillez [sic] à rester polis et courtois.", l'agression gratuite ne me semble pas conforme à cette règle  ;D

    Bon week-end à tous (sans exception) !

    Reply Quote 0 1 Reply Last reply

Loading More Posts
11
Posts
1671
Views
Reply
Log in to reply


Products

  • Platform Overview
  • TNSR
  • pfSense
  • Appliances

Applications

  • AWS Transit VPC
  • High-Performance Cloud Mirror Port
  • High-Performance vRouter
  • High Performance Cloud Firewall

Support

  • Subscription Plans
  • Contact Support
  • Product Lifecycle
  • Documentation

Services

  • Training
  • Professional Services

News

  • Media Coverage
  • Press
  • Events

Resources

    Ralph Homme Pull Lauren Achat Vente Pas yNwm0Ov8n
  • Blog
  • FAQ
  • Find a Partner
  • Resource Library

Company

  • About Us
  • Careers
  • Partners
  • Contact Us
  • Legal
Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy

Looks like your connection to Netgate Forum was lost, please wait while we try to reconnect.