pfSense O cluster não funciona com o manual NAT

Navegue suas respostas
3

Eu tenho dois clusters de pfSense, um é 2.1.4 e um é 2.1.3.

As rotas sugerem que NAT de saída manual é necessário, mas o cluster 2.1.3 está funcionando bem usando NAT automático, servidores e todos (incluindo SSH e OpenVPN).

O cluster 2.1.4 está usando o NAT de saída manual e está causando sofrimento. O NAT tem três regras adicionadas automaticamente - rotuladas desta forma:

  • Regra criada automaticamente para ISAKMP - LAN para WAN
  • Regra criada automaticamente para LAN para WAN
  • Regra criada automaticamente para localhost para WAN

Eles também foram criados para nossa rede interna (192.168.6.0/24) e para nossa rede de desenvolvedores (10.2.0.0/8). Existem duas regras manuais:

  • IPs dos clientes OpenVPN (192.168.7.0/24) para o exterior são NAT
  • IPs da Internet Net para o Dev Net são NAT

Esse cluster de firewall era um cluster de teste - depois, o primário foi desmembrado para um único firewall de produção do sistema - e agora é retornado para ser um cluster ... e tem várias alterações de IP ao longo do caminho.

As coisas agora são NAT para o endereço do Cluster, mas o OpenVPN ainda usa o endereço do principal. o que estou perdendo? Devo voltar ao NAT automático? Se, por outro lado, eu mover o Cluster 2.1.4 para NAT Manual (para lidar com a comunicação com o secundário através da VPN), estou causando problemas?

EDIT Devo observar que todo o resto parece estar funcionando - incluindo o SSH para o endereço do cluster e o HTTP de saída mostra o endereço do cluster e assim por diante. SSH, claro, é a porta 22 - e o OpenVPN é 1194 (acima de 1024). O cliente OpenVPN funciona (site para site VPN). Parece ser apenas o tráfego de saída do servidor OpenVPN na porta 1194 que não é NAT.

Eu tentei executar o OpenVPN na porta 23 com as regras de firewall apropriadas - e ainda enviou as respostas do endereço da WAN, não o endereço do cluster.

UPDATE Eu mencionei o que estava errado, mas não propriamente explicitamente. Isso é o que eu espero:

  1. O pacote chega destinado ao IP do cluster na porta 1194.
  2. O pacote é aceito pelo servidor OpenVPN.
  3. O pacote é enviado de volta para a fonte do cluster IP na porta 1194.

Isso é o que estou vendo:

  1. O pacote chega destinado ao IP do cluster na porta 1194.
  2. O pacote é aceito pelo servidor OpenVPN.
  3. O pacote é enviado de volta para a fonte do IP primário na porta 1194.

Você sugeriu verificar o IP ao qual o servidor OpenVPN está vinculado; foi ANY e alterado para Cluster IP ; ainda não testamos.

    
por Mei 28.07.2014 / 19:44

1 resposta

1

O problema foi realmente muito mais simples do que parecia. O servidor OpenVPN foi configurado para escutar na interface qualquer ; Quando mudei a interface para o cluster IP , as coisas começaram a funcionar. (A interface é uma das listas suspensas na guia de configuração do servidor OpenVPN).

Isso resolveu dois problemas que surgiram.

Primeiramente, ele escutou "todas" as interfaces, mas não o IP do cluster, já que não foi incluído na definição de "all". Alterar a interface para ouvir o IP do cluster fez com que o servidor ouvisse apenas essa interface, mas esse é o comportamento desejado de qualquer maneira.

Em segundo lugar, quando a interface é listada como qualquer , o sistema não vê o OpenVPN como parte do failover. Assim, o OpenVPN em todos os nós do cluster tenta ser executado. Convertendo para escutar no IP do cluster, isso faz com que o sistema reconheça que o OpenVPN deve ser submetido a failover e funciona corretamente em todos os nós.

Problema resolvido. Viva!

    
por 30.07.2014 / 18:55

Tags

Por que uma montagem de ligação seria desmontada inesperadamente? Editar política local via powershell