Dans cet article nous allons mettre en place un cluster haute disponibilité pFsense Actif/Passif en utilisant CARP.
Version pFsense 2.2.4
Prérequis
Si vous travaillez dans un environnement virtuel, il vous faut activer le mode de promiscuité (sous VMWare Mode Espion) sur les différentes cartes qui posséderons une IP virtuelle (dans mon exemple, LAN et WAN)
Sous VMWARE :
A faire sur tous les vSwitch concernés des différents hôtes
Se connecter au client Vsphere
Configuration - Mise en réseau - Propriété sur le vSwitch
Vous devez disposer de deux PFsense avec trois interfaces minimum
Une interface LAN
Une interface WAN
Une interface dédié à la synchronisation de votre cluster
Configuration du cluster souhaité
Première PFsense
IP LAN : 192.168.100.251 / 24
IP WAN : 192.168.10.3 / 24
IP Sync HA : 192.168.200.1 / 24
Seconde PFsense
IP LAN : 192.168.100.252 / 24
IP WAN : 192.168.10.4 / 24
IP Sync HA : 192.168.200.2 / 24
Configuration du cluster HA
IP LAN du cluster : 192.168.100.254 / 24
IP WAN du cluster : 192.168.10.252 / 24
Configuration réseau des PFsense
A réaliser sur les deux PFsense
Se connecter sur l'interface WEB de la PFsense
Configurer les interfaces réseaux
Configurer les règles de par-feu afin d'autoriser les flux de synchronisation du cluster HA
Configuration de la PFsense SLAVE (backup/secondaire)
Se connecter sur l'interface WEB de la PFsense SLAVE (BACKUP/secondaire)
Dans mon exemple : 192.168.100.252
System - High Avail. Sync
Synchronize States : Cocher pour activer
Synchronize Interface : Sélectionner l'interface de synchronisation (ici HA)
pfsync Synchronize Peer IP : Indiquer l'adresse IP de la PFsense MAITRE (principale)
Cliquer sur Save
Configuration de la PFsense MASTER (principale)
Se connecter sur l'interface WEB de la PFsense MASTER (principale)
Dans mon exemple : 192.168.100.251
System - High Avail. Sync
Synchronize States : Cocher pour activer
Synchronize Interface : Sélectionner l'interface de synchronisation (ici HA)
Synchronize Config to IP : IP de la PFsense SLAVE (backup/secondaire)
Remote System Username : Utilisateur de la pfsense SLAVE (backup/secondaire)
Remote System Password : mot de passe de la pfsense SLAVE (backup/secondaire)
Sélectionner tous les éléments de configuration que vous souhaiter synchronisation (dans mon exemple, je désire tous synchroniser) puis cliquer sur Save
Configuration réseau du Cluster HA
A ne réaliser que la PFsense MASTER (principale)
Se connecter sur l'interface WEB de la PFsense MASTER (principale)
Dans mon exemple : 192.168.100.251
Configuration IP virtuelle du LAN
Firewall - Virtual IPs - Cliquer sur le signe +
TYPE : CARP
Interface : Sélectionner votre interface LAN
IP Address(es) : Renseigner l'IP virtuel LAN de votre Cluster HA
Virtual IP Password : Renseigner un mot de passe
VHID Group : Indiquer 1
Advertising Frequency : Indiquer 1
Description : Indiquer la description de l'IP virtuelle
Cliquer sur Save
Configuration IP virtuelle du WAN
Firewall - Virtual IPs - Cliquer sur le signe +
TYPE : CARP
Interface : Sélectionner votre interface WAN
IP Address(es) : Renseigner l'IP virtuel WAN de votre Cluster HA
Virtual IP Password : Renseigner un mot de passe
VHID Group : Indiquer 2
Advertising Frequency : Indiquer 1
Description : Indiquer la description de l'IP virtuelle
Cliquer sur Save
Configuration générale des IPs virtuelles
Vérifier l'état du Cluster HA
Connectez-vous sur l'interface WEB de la PFsense principale
Status - CARP (failover)
La PFsense principale est bien en Status MASTER
Connectez-vous sur l'interface WEB de la PFsense secondaire
Status - CARP (failover)
La PFsense secondaire est bien en Status BACKUP
Depuis un poste client :
Effectuer un ping continue vers l'IP LAN du Cluster HA
Déconnecter la PFsense principale
Un paquet ou deux se perd puis la connexion reprend en utilisant la PFsense secondaire
Merci beaucoup,
ça m'a aidé le mode "espion"