Multi LAN <=> Multi Wan [RESOLU]

[ProServ]

je vais repartir sur 2 connections suite au changement de topologie avec du loadbalancing , failover et du vlans...   Connaitrais tu d'ailleurs une solution pour tester des config vlans en virtuels ?

Je n'ai pas compris ton nouveau schéma réseau.
Si tu utilises des VLAN, il te faut un switch mangeable de niveau 2 (minimum).
OPNSense gère très bien les VLAN.

Sur la conf de mon entreprise, j'ai 5 VLANs sur un LACP répartie sur 3 ports.
Et 2 VLANs sur l'autre port.
J'utilise des APU4D4 (4 ports Giga)

Pour ne pas te perdre, je te conseille de faire un schéma de ton réseau sur Visio ou autre.
J'utilise parfois aussi Excel pour noter la conf des ports des switch (pas trouver/chercher d'autre logiciel) quand cela commence à être complexe (plus de 3 VLAN).

Franchement, pas besoin de faire des tests. Fais ton schéma et crée ta conf en prod. OPNSense sait très bien gérer les réseaux comme les nôtres.

[tsystem]

Bonsoir,

APU4D4 : intéressant, je ne connaissais pas, cela va suivre pour une grosse sollicitation ( une 20 aine de poste en prod, une dizaine de portables et 40 lames de rendu) ? je partait plus sur une petite tour avec un Ryzen 7 , 16 Go de RAM  ,un petit m2 et 2 belles cartes réseau 4 ports ?

Pour la structure réseau, voici mon idée actuel pour avoir une idée bien qu'il manque des étages encore...
(compressé ++ pour passer)

Bonne nuit

[ProServ]

Sympa ton schéma 
Tu l'as fait avec quoi ?

Oui l'APU4D4 peut suffire. Moins de 150 postes, ca ne pose pas de problème. Au dessus, je partirai sur une solution propriétaire comme Fortinet ou autre.
Tu entends quoi par 40 lames de rendu ?

PCEngines ont les meilleurs prix pour les APU.

Perso je prendrais la même config que j'ai fais.

• 1 port ou se trouve 2 VLANs.
• VLAN 100 pour la fibre
• VLAN 110 pour la 4G en secours

• 3 ports en LACP ou se trouve tous les VLANs interne.
• VLAN 200
• VLAN 210
• VLAN 220
• VLAN 230

Le port ou se trouve la connexion internet suffit si tu utilises principalement qu'une connexion (fibre par exemple).
Les 3 autres ports se partage tout le flux réseau interne.

Mais ta solution de monter un PC peut tout aussi bien fonctionner.

[tsystem]

Hello,

Sympa ton schéma 
Tu l'as fait avec quoi ?

Avec LucidChart, c'est un peu de job, mais l'application (online) est vraiment pratique et puissante. Un peu long pour ce faire les modules, mais après ça roule.

Pour l'Apu4D4, je pense que se ne sera pas assez, car il y a 2 gateway : 1 fibre ( incluant 2 vlans) et une 4G de backup ... ce qui me resterais qu'un LAG de 2 ports...

Par contre par rapport à ton descriptif, si tu passe par du LACP, c'est que tu arrive sur un trunk pour ton switch ? cela veut dire que opnsense arrive à marquer/identifier les paquets ? faut-il faire attention au controller Ethernet choisis pour gérer cela ? (je n'ai jamais fais de vlan avec opnsense...)

Bonne journée

[ProServ]

Tu peux tout aussi bien gérer l'arrivée fibre et 4G sur ton switch et les faire repartir en 3 VLAN (2 fibre et 1 4G) sur un port pour arriver au routeur.
Ce qui te laisse après 3 ports pour le LACP des réseaux interne.

Oui OPNsense gère très bien le LACP et VLAN.
Il identifie les parquets marqué et les marques lui aussi en retour. En gros il sait gérer les VLAN.
Pour les contrôleurs ethernet je ne peux pas te dire. Je n'ai testé que sur des contrôleurs virtuels ou sur des APU.

[burn2]

Là où certain routeurs propriétaires te mâchent le boulot, sur OPNSense il faut faire quelques réglages supplémentaires pour que tout roule.

Oui il faut créer une route par passerelle.
Route : 0.0.0.0/0 sur P_WAN1.
Etc...

Pour le NAT, il faut procéder ainsi.
Pare-feu->NAT->Sortant
Sélectionner "Génération manuelle de règles NAT sortantes" (c'est préférable dans ton cas) :
Puis créer une NAT par interface WAN avec son LAN attitré

• Interface : WAN1
• Source : LAN1 Net
• Destination : ANY
• Translation NAT : WAN1 Address

Ensuite, si tu as coché les options décrites avant et mis ta passerelle sur tes règles LAN, ca devrait fonctionner sans problème.

Si tu utilises le DHCP et DNS OPNSense, il faut aussi bien les configurer.

Par contre, c'est dommage de ne pas faire le failover/loadbalancing sur tous ces liens WAN. Si un tombe, ton LAN attitré n'aura plus aucune connexion internet alors que tu en as 3 autres qui fonctionnent.
Sans oublié que si par exemple le premier lien WAN est engorgé, les 3 autres peuvent désengorger le premier.

Cependant c'est ton choix, tu dois avoir tes raisons.

Bonjour.

Merci vraiment pour ces informations!!!
Je cherchais à faire fonctionner en vain sous la version 20.7
Sous la version 20.1 je n'avais eu besoin que de mettre la gateway sur la règle du firewall et c'était suffisant, mais avec cette méthode ça ne passait plus du tout sous la 20.7.
En suivant à la lettre tes informations tout fonctionne au poil!

Donc vraiment merci, je n'avais trouvé cette information nulle part!!!

[ProServ]

Je suppose que tu parles du NAT sortant...
Logiquement, sur une configuration simple (sans VIP, multi WAN, etc...) il les génère automatiquement et ne pose pas de problème.
Cependant, content que cela t'ai aidé.

[burn2]

Non non.

En fait dans mon cas j'avais comme ici plusieurs vlan, et plusieurs interfaces.
Je voulais comme ici affecter une ip à un vlan.

La seule chose que j'avais eu à faire sur la version 20.1 c'était juste la règle sur le firewall.
Mais une fois mis à jour à la 20.7 ça ne fonctionnait plus.

En rajoutant le nat ET le routage 0.0.0.0/0 ça fonctionne enfin à nouveau.
Par contre, j'avoue ne pas comprendre pourquoi il faut créer la route "0.0.0.0/0"? ça se traduit comment en vrais?

[ProServ]

Non non.

En fait dans mon cas j'avais comme ici plusieurs vlan, et plusieurs interfaces.
Je voulais comme ici affecter une ip à un vlan.

Jusqu'ici tout ca bien. Il faut indiquer une IP par interface... Que ce soit des VLAN ou interface physique.

La seule chose que j'avais eu à faire sur la version 20.1 c'était juste la règle sur le firewall.
Mais une fois mis à jour à la 20.7 ça ne fonctionnait plus.

En rajoutant le nat ET le routage 0.0.0.0/0 ça fonctionne enfin à nouveau.

Dans ce cas, ce qui est étrange, c'est que ca fonctionnait avant.

Par contre, j'avoue ne pas comprendre pourquoi il faut créer la route "0.0.0.0/0"? ça se traduit comment en vrais?

C'est pour indiquer quelle passerelle utiliser lorsque tu sors sur un sous réseau qui n'est pas dans tes réseaux connus par OPNsense = en gros l'accès internet (mais pas que, ca peut être un sous réseau local différent...)

[burn2]

Je n'explique pas non plus.

Peut-être que le nat "auto" était capable de mettre la bonne règle?
Et de faire le lien tout seul?

Je ne sais pas, toujours est-il que c'est grâce à toi que j'ai pu enfin me débloquer après avoir galéré pendant longtemps!
A croire que personne ne faisait du multiwan sans équilibrage de charge...

(dans mon cas c'est du multi ip sur un serveur dédié + firewall opnsense)