我目前有:
1 pfSense 2.0.2路由器(在Firebox X-Peak X5000上)
2 WAN
1 LAN
3服务器
我的接口
WAN1 68.XX.XXX.98至69.XX.XXX.102
WAN2 65.XXX.XXX.58至66.XXX.XXX.62
LAN 192.168.1.XXX
DMZ
我的路由器配置如下:
根据此文档使用网关组进行负载平衡。
NAT
到LAN服务器的规则
WAN2和DMZ之间的桥接(在一台DMZ服务器上具有外部IP) -但无法通过外部IP地址在局域网中的该服务器与其他服务器之间进行通信。通过自定义路由配置,我已经能够处理从LAN到DMZ上服务器的请求,但是我不喜欢这样。
我的服务器正在使用本地IP地址
192.168.1.XXX,因此我的电脑也一样。期待
我想做两件事:
1在NAT后面的DMZ和LAN桥接两个WAN
我希望可以将外部IP地址分配给服务器,并希望将IP从两个WAN混合到同一服务器。我还希望能够通过LAN示例与服务器进行通信:
192.168.1.100 <--> http://68.XX.XXX.99
还能够从服务器与另一服务器示例进行通信:
65.XXX.XXX.59 <--> http://68.XX.XXX.99
我需要为NAT后面的LAN上的计算机专用一个外部IP地址吗?
我将能够保持NAT的负载平衡功能吗?
注意:我想避免一对一的NAT,在服务器上使用本地IP地址会使虚拟主机配置变得复杂,因此我更喜欢使用外部地址。
2路由器硬件冗余(CARP)
我又有一个相同的Firebox X-Peak X5000,并希望将其作为备份,如果第一个失败,则第二个可以接管而无需(或几乎)网络丢失(即,从外部到服务器的请求必须正常工作,从LAN和服务器到Internet的请求也必须正常工作)。
我已经阅读了此文档,但是我不知道它是否可以与我的配置一起使用(桥+ NAT +负载平衡)
#1 楼
通过使用一对一(或静态)NAT,可以很好地解决此问题。您的接口将设置为与当前相同的接口,唯一的区别是您不会桥接WAN / DMZ接口。唯一无法完成的事情是允许您通过LAN讲话地址空间到您的外部地址空间。我假设问题可能是DNS请求正在返回外部地址?如果是这种情况,那么您可以更改BIND配置以包括两个不同的视图(内部视图和外部视图),以根据DNS请求的来源提供不同的返回。
我相信唯一的其他解决方案-要获得您在此处要求的所有内容-是让两个ISP为您分配要在DMZ接口上使用的另一个地址块。
对于硬件故障位,这应该可以工作只要您的接口与第一防火墙位于同一L2区域中就可以。听起来像是主动/被动,所以应该没问题。
#2 楼
对于多广域网桥+ NAT +负载平衡,可以如下设置:1创建DMZ接口
IPv4配置类型:无
2创建桥
接口
分配
桥
添加
选择WAN1,WAN2和DMZ
3防火墙规则
解除阻止必要的端口并将其允许在适当的WAN中:
源:*
端口: *
目的地:外部IP地址
通过该配置,DMZ上的服务器现在可以使用公共IP地址。到目前为止,唯一的缺点是我无法从LAN访问DMZ上的主机。
评论
对于一对一方法,我想避免使用它(应该在我的问题中包括它),我也怀疑每个ISP是否可以有2个IP块。我想我能做的一件事是在每个ISP上创建4个WANS,在每个ISP上创建2个,用于DMZ,在每个ISP上创建一个,用于NAT,听起来不错吗?
–亚历山大·拉沃(Alexandre Lavoie)
2013年6月7日19:14