контекст
У меня сейчас есть:
- 1 маршрутизатор pfSense 2.0.2 (на Firebox X-Peak X5000)
- 2 WAN
- 1 локальная сеть
- 3 сервера
Мои интерфейсы
- WAN1 68.XX.XXX.98 до 69.XX.XXX.102
- WAN2 65.XXX.XXX.58 до 66.XXX.XXX.62
- LAN 192.168.1.XXX
- ДМЗ
Мой роутер настроен так:
- Балансировка нагрузки с группой шлюзов на основе этой документации .
- NAT
- Правила для серверов локальной сети
- Мост между WAN2 и DMZ (с внешними IP-адресами на одном DMZ-сервере) - но не может обмениваться данными между этим сервером и другими серверами в локальной сети, проходя по внешнему IP-адресу. Благодаря настраиваемой конфигурации маршрута я смог обрабатывать запросы от локальной сети к серверу в DMZ, но мне не нравится делать это так.
Мои серверы используют локальные IP-адреса 192.168.1.XXX
, так же как и для моих компьютеров.
Ожидая
Я хотел бы сделать две вещи:
1 Соедините две глобальные сети с DMZ и локальной сетью за NAT
Мне нужна возможность приписывать внешние IP-адреса серверам и возможность смешивать IP-адреса одного и того же сервера из обеих глобальных сетей. Я также хотел бы иметь возможность общаться с серверами из примера локальной сети:
192.168.1.100 <--> http://68.XX.XXX.99
Также возможность связи с сервером на другой пример сервера:
65.XXX.XXX.59 <--> http://68.XX.XXX.99
- Нужно ли будет выделять один внешний IP-адрес для компьютеров в локальной сети за NAT?
- Смогу ли я поддерживать балансировку нагрузки для NAT?
Примечание. Я хотел бы избежать индивидуального NAT, поскольку локальные IP-адреса на сервере усложняют настройку виртуального хостинга, поэтому я предпочитаю использовать внешние адреса.
2 Аппаратное резервирование маршрутизатора (CARP)
У меня есть еще один Firebox X-Peak X5000 идентичный, и я хотел бы поместить его в качестве резервной копии, если первый выйдет из строя, второй может вступить во владение без (или почти) потери сети (т. Е. Запросы извне на сервер должны работать, также из локальной сети и серверов в Интернет).
Я прочитал эту документацию , но я понятия не имею, может ли она работать с моей конфигурацией (Bridge + NAT + Load Balancing)
Для multi-wan bridge + NAT + балансировка нагрузки это можно настроить следующим образом:
1 Создайте интерфейс DMZ
2 Создайте мост
3 Правила брандмауэра
Разблокируйте необходимые порты и разрешите их в соответствующей глобальной сети:
С такой конфигурацией серверы в DMZ теперь могут работать с публичными IP-адресами. Пока единственным недостатком является то, что я не могу получить доступ к хостам на DMZ из локальной сети.
источник