Sziasztok!
Adott egy /29-es publikus ip cím tartomány, ennek felhasználásával szeretnék 2 pfsense tűzfalból álló failover párt összerakni.
A problémát az okozza, hogy az egyik partnerünket csak az egyik publikus ip címről lehet elérni. Ezt az ip-t szeretném beálltítani
úgy, hogy a kimenő forgalom ezen keresztül menjen ki.
Virtual ip-vel próbáltam eddig, de az nem jó. A tűzfalak a saját ip címükön küldik ki a forgalmat. Beállítható valahogy a virtuális
ip cím defautl kimenő ip-nek?
- 1130 megtekintés
Hozzászólások
vip címre natoltatod? ha csak megcsinálod a vip-et semmi nem fog történni by default, használd és akkor menni fog az.
- A hozzászóláshoz be kell jelentkezni
pfsense-carp ip
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
A /29-ben 8 IP-nek kéne lennie, ha jól számolom - amiből persze kettő (subnet, broadcast) használata nem ildomos. Mivel vélhetően itt lesz a default gw, ezért te ebből a tartományból ténylegesen öt IP címet használhatsz. Ez több, mint elég. :-)
Szerintem adj mindkét pfSense-enk innen egy valós IP címet, amin közvetlenül az adott pfSense érhető el. Illetve azt a publikus IP-t, amin elérhető a partner, vedd fel mindkét pfSense-re, mint carp IP. Amire figyelj: a kifelé menő NAT alapjáraton a carp IP-ként felhúzott publikus IP-re NAT-oljon! Szintén fontos, hogy ugyanezt a mókát a belső háló felé is el kell játszani, mert ha elesik az elsődleges pfSense, akkor az oké, hogy a másodlagos a világ felé magára húzza a publikus carp IP-t, de ha nem történik meg ugyanez a belső háló felé is, akkor igazából nem értél el semmit. Tehát a belső hálóra is fel kell húzni egy carp IP-t a belső hálózatból és a belső hálózat default gw-je a carp IP.
- A hozzászóláshoz be kell jelentkezni
Köszi srácok, a natolást nem állítottam be. Így most már működik rendesen.
Zs, belső hálós része már kész volt, a külsővel vont a gond.
- A hozzászóláshoz be kell jelentkezni