我有两个pfSense集群,一个是2.1.4,一个是2.1.3。
指示表明需要手动出站NAT ,但2.1.3群集使用自动NAT,服务器和所有(包括SSH和OpenVPN)工作得很好。
2.1.4群集正在使用手动出站NAT,并导致悲伤。 NAT有三个自动添加的规则 – 因此标记为:
这些也是为我们的内部networking(192.168.6.0/24)和我们的开发networking(10.2.0.0/8)创build的。 有两个手动规则:
这个防火墙集群是一个testing集群 – 然后主要是为一个单一的系统生产防火墙 – 现在又回到了一个集群……并且一路上有许多IP变化。
事情现在是NAT的群集地址,但OpenVPN仍然使用主地址。 我错过了什么? 我应该回到自动NAT吗? 另一方面,如果我将2.1.4集群移动到手动NAT(通过VPN处理与第二方的通信),我是否会导致问题?
编辑我应该注意,一切似乎正在工作 – 包括SSH到群集地址和传出HTTP显示群集地址,等等。 SSH当然是22端口 – 而OpenVPN是1194(1024以上)。 OpenVPN客户端工作(站点到站点VPN)。 它似乎只是来自端口1194上的OpenVPN服务器不是NAT的输出stream量。
我试着用合适的防火墙规则在端口23上运行OpenVPN – 它仍然从WAN地址发出响应,而不是群集地址。
更新我没有提到什么是错的,但没有正确明确。 这是我所期望的:
这是我所看到的:
您build议检查OpenVPN服务器绑定的IP; 被ANY改为Cluster IP ; 还没有testing过。
问题实际上比听起来简单得多。 OpenVPN服务器被configuration为在任何接口上侦听; 当我将接口更改为集群IP时 ,事情就开始起作用了。 (接口是OpenVPN服务器configuration选项卡中的下拉菜单之一。)
这解决了出现的两个问题。
首先,它听取“所有”接口,而不是集群IP,因为它没有包含在“全部”的定义中。 将接口更改为侦听群集IP使服务器仅在该接口上进行侦听,但无论如何,这是所需的行为。
其次,当界面被列为任何系统没有看到OpenVPN作为故障转移的一部分。 因此,所有群集节点上的OpenVPN尝试运行。 转换为侦听群集IP,这会导致系统识别出OpenVPN将被故障转移,并在所有节点上正常工作。
问题解决了。 万岁!