Шлюз высокой доступности на pfSense.
-
Так в чем основной вопрос-то? На /30 сети CARP настроить не выйдет. На серых адресах - да, настроить можно, поставив между pfSense'ми и провайдером небольшую железку с NAT. VLAN'ы pfSense умеет.
? -
Вопрос - каким образом можно реализовать высокую доступность шлюза для /30 сетей?
На серых адресах - да, настроить можно, поставив между pfSense'ми и провайдером небольшую железку с NAT.
Зачем? NAT можно поднять на pfSens'ах. Если эта железка будет одна, то это очередное узкое место сети.
-
Я имею ввиду серые адреса на WAN'ах pfSense'ов (ведь белых для CARP вам явно не хватает). Вот и как вариант дабл-NAT с дополнительной железякой.
Впрочем CARP можно настроить и с тем, что сейчас вам дает провайдер (т.е. с одним белым IP), но с некоторыми ограничениями в управляемости.
Кратко, не давать WAN'ам pfSense'ов адресов (тип None), а единственный белый IP сделать виртуальным типа CARP. При этом извне вы сможете подключиться только к тому pfSense, который в данный момент является мастером. -
"Note that the CARP addresses are virtual addresses. Unless you have console access to all machines in your CARP group, you will almost always want to assign an IP address to the physical interfaces. With a unique IP address for each of the physical interfaces, you will be able to communicate with the host and be absolutely sure with which machine you are interacting. Without IP addresses assigned to physical interfaces, you could find yourself with a setup where the backup gateways are unable to communicate (except with hosts in networks where the physical interfaces have addresses assigned), until they become the master in the redundancy group and take over the virtual IP addresses."
Book of PF. 2nd Edition -
Поправочка)) На чистом PF можно, но pfSense не даст: "The interface upon which the CARP IP resides must already have another IP defined directly on the interface (VLAN, LAN, WAN, OPT) before it can be utilized."
-
Да, к сожалению не получается. Когда убираешь IP на WAN интерфейсе, CARP говорит, что нету ИП-адреса. А если бы получилось, то такой-же трюк удался бы с /30 подсетью.
-
А если поднять два хоста на том же Proxmox , создать из них кластер в режиме HA и уже в кластере поднять pfsense?
В случае падения первого хоста - второй возьмет на себя его роль. -
Не рассматривал такое решение, но почему бы и нет.
Правильно ли я понимаю, что это будет некое облако, у которого будет видимость как у оного физического сервера? И таким образом мы одержим победу над /30 сетью?! -
Если вам подходит вариант 2-ух идентичных ВМ с pfsense на борту, то - да. Но и хосты должны быть максимально идентичными - как минимум - CPU, motherboard. Т.е. будет ВМ с pfsense и двумя WAN на борту (failover), работающая в кластере. В вашей схеме кластер займет место в районе SW1.
P.s. http://pve.proxmox.com/wiki/Proxmox_VE_Cluster , http://pve.proxmox.com/wiki/High_Availability_Cluster
-
Вот в идентичности будет проблема. Дело в том, что Main-router это сервер HP, а backup - это компик собранный на коленке.
Может действительно правильное решение будет искать подходящий софт для облака, а внутри поднимать pfSense.
