International Forums > French - Français

[RESOLU] Multi wan sans loadbalancing ni ha

(1/1)

burn2:
Bonjour,

J'ai un petit soucis sous opnsense sur un serveur proxmox.
Explication rapide du contexte:

Contexte:
Dedié sous Proxmox.
Vm opnsense virtualisée qui a sa propore ip failover affectée à une patte.
Plusieurs vm sur des vlan qui sont donc "derrière le firewall" sur un bridge interne proxmox. 
 
Proxmox a donc sa propre ip publique.
Le firewall a sa propre ip publique failover qui sert à la patte par défaut. 
J'ai une patte supplémentaire qui possède une autre ip failover publique. 
(donc c'est comme si on avait 2 arrivées au niveau du firewall côté internet)
 
Voici le problème.
* Si dans nat ==> port forward je rajoute:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH) 
Puis que dans rules ==> INTERNET j'ouvre le port 22:
IPv4 TCP/UDP  *  *  X.X.X.X  22 (SSH)  *  * 
ça marche, le port SSh de l'ip de l'interface internet est bien routée vers ma vm.
Donc la configuration depuis la patte internet principale fonctionne.
 
* Si dans nat ==> port forward je rajoute:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET2  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH) 
Puis que dans rules ==> INTERNET2 j'ouvre le port 22:
IPv4 TCP/UDP  *  *  X.X.X.X  22 (SSH)  *  * 
ça ne marche pas. 
Aucune réponse depuis l'extérieur. 
 
* Si dans nat ==> port forward je rajoute à la place:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET2  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH) 
Mais que je mets "PASS" dans Filter rule association au lieu de rules, alors ça marche.
 
La question est donc pourquoi je n'arrive pas à le faire fonctionner en utilisant des règles??
La seule différence étant donc que la patte internet2 n'est pas la patte principale déclarée dans le firewall.
J'ai bien mis les passerelles en "upstream" mais ça ne change rien.

En creusant et en faisant une capture sur les interfaces je me rends compte que tout est bon pour le chemin "aller", mais qu'il y a des paquets qui partent vers la patte INTERNET.
En gros, je coupe tout, je fais du ssh sur la patte INTERNET2, je vois bien mes paquets entrer sur la patte INTERNET2, je vois bien mes paquets partir vers mon VLANX, je vois bien ma machine me répondre depuis VLANX, mais ensuite ça ne part pas par la patte INTERNETZ.
ET quand je regarde la patte INTERNET, je vois des paquets passer.
J'ai bien une règle qui dit tout depuis vlanX part par passerelle X.
Quelle est la procédure pour une telle utilisation?

En gros le but simple c'est j'ai X lignes internet qui arrivent avec X ip, et je veux répartir mes ips par vlan pour dispatcher tel port sur telle machine.

Merci d'avance.

burn2:
Bonsoir.

En résumé simple ce que je veux faire.
J'ai plusieurs lignes internet avec plusieurs ip.
On va noter l'interface par défaut WAN qui n'est qu'un ip affectée au firewall.

Je veux pouvoir dire:
- Port 22 de l'interface I1 part vers machine A
- Port 22 de l'interface I2 part vers machine B
- Port 22 de l'interface i3 part vers machine C.

A l'heure actuelle ça ne fonctionne pas. Je vois bien que je pars vers machine B ou A, mais un truc cloche dans le routage puisque j'ai du trafic sur WAN alors que je suis en train d'arriver par I1 et que je me vois bien arriver par I1.
Du coup je ne comprends pas. :/

burn2:
Bon, à confirmer sur le long terme, mais au final, la solution semble provenir de là:

En recherchant en fait ce n'est pas l'option upstream la solution, je le laisse quand même, mais ce qui règle le soucis c'est ça:
https://forum.opnsense.org/index.php?topic=15900.0


--- Quote ---You can find the general checkbox "Disable reply-to" in system_advanced_firewall.php, which disables the default as Franco mentioned in the other post.
--- End quote ---

Navigation

[0] Message Index