[RESOLU] 2 pfSense en HA et accès OpenVPN d'un serveur à l'autre
-
Oui voilà, sauf que j'essaye d'avoir les 2 pfsense actifs en parallèle, sans maître ni esclave.
mais dans quel but exactement ?
pour de la haute dispo => il faut un cluster
pour du load balancing => ce n'est pas pfSense qui fait ça mais au mieux un reverse proxy ou un truc de ce genre. -
Le load-balacing qui est géré dans un premier temps par l'IP LB devant les 2 pfsense et ensuite par HAProxy sur les pfsense.
-
Le load-balacing qui est géré dans un premier temps par l'IP LB devant les 2 pfsense et ensuite par HAProxy sur les pfsense.
C'est là que l'idée est une fausse bonne idée, à mon avis 8)
Empiler 2 niveaux différents de load-balancing si au final tu accèdes derrière les mêmes machines… bof.Un seul niveau suffit largement, derrière un cluster de pfSense si tu veux un FW (mais un seul est actif).
Tu peux éventuellement utiliser le HA proxy de pfSense, même si fonctionnellement, ce n'est pas la meilleure idée, mais à un instant donné, il n'y a qu'un seul HA proxy actif.
-
Je suis obligé, car les ip lb d'OVH ne permettent de faire du LB que sur quelques ports.
Et j'ai besoin d'un LB interne, c'est là que sert vraiment le HAPRoxy. -
Et qu'est ce qui vous pensez que pfSense pourrait fonctionner en Actif/Actif ?
Normalement on prépare son truc. Et on commence par lire la doc d'un outil.
Et là qu'est ce qu'elle dit la doc ? -
Je suis obligé, car les ip lb d'OVH ne permettent de faire du LB que sur quelques ports.
Et j'ai besoin d'un LB interne, c'est là que sert vraiment le HAPRoxy.La vraie question est de savoir si tu as besoin ou pas d'un cluster pfSense.
Si oui, tu en fais un sur la base de ce que j'ai décrit.Ensuite, de ce pfSense, du t'appuies sur un load balancer (HA proxy) qui peut être celui de pfSense.
Je ne vois pas le problème :)
pas le load-balancing OVH mais uniquement HAproxy.
-
Je vois bien et je vais changer ce qu'il faut.
J'ai essayé quelque chose d'impossible, tant pis, je passe à une configuration plus standard. -
Oui voilà, sauf que j'essaye d'avoir les 2 pfsense actifs en parallèle, sans maître ni esclave.
Ce n'est pas le design retenu pour Pfsense dans le cadre d'une solution haute disponibilité. Vous essayez de faire fonctionner un logiciel d'une façon pour laquelle il n'a pas été conçu. A partir de là …
-
Je ne fais pas du HA avec pfsense, et ils ne sont pas en cluster en effet, il y a juste une synchro partielle via carp.
En gros, chaque hyperviseur a son pfsense, qui sert de passerelle WAN aux autres VM du même hyperviseur, mais peut tomber intégralement sans souci.Le HA se fait autrement, et pas via les pfsense, chaque hyperviseur ayant les mêmes applicatifs hébergés.
Sinon, j'ai résolu mon souci en gardant l'ensemble du réseau local sur le même subnet.
J'ai simplement mis les 2 VPN sur des sous-réseaux distincts, 172.31.0.0/24 et 172.32.0.0/24, puis j'ai une route sur chaque pfsense pour leur faire connaître le sous-réseau utilisé par le pfsense de l'autre VPN et l'y renvoyer.Au final, la seule chose qui ne marchait pas correctement, et n'avait pas accès à l'ensemble du réseau local, fonctionne désormais.
Donc oui, j'ai 2 pfsense actifs, et en partie synchronisés (pour ce qui peut et doit l'être, mais c'est normal, ils ne s'occupent pas de la HA.Désolé si mon explication de base n'est pas claire.
-
Je ne fais pas du HA avec pfsense, et ils ne sont pas en cluster en effet, il y a juste une synchro partielle via carp.
…/...
Désolé si mon explication de base n'est pas claire.L'essentiel étant probablement que ça fonctionne ;)
Il s'agit d'un problème de vocabulaire.
CARP (qui est l'acronyme de Common Address Redundancy Protocol), vise à gérer des IP virtuelles flottantes. Ce n'est pas de la synchro ;)
Si tu fais de la synchro de certains paramètres mais que tu n'implémentes pas de cluster, tu n’utilises pas CARP.
Comme ton message initial faisait référence à cette solution, je pensais qu'il y avait de IP flottantes mais… non.
C'est juste 2 FW sur le même LAN :-\