[RESOLU] plus de PFSYNC ?

Fredw02

Bonjour a tous

Voilà, j'ai déjà utilisé PfSense dans une version précédente, ou j'avais utilisé CARP et un lien PFSYNC pour la synchronisation des règles mais depuis la nouvelle mise a jour je suis perdu.

J'ai récemment installé 2 nouveaux PfSense avec la dernière mise a jour (avec une grosse amélioration graphique d'ailleurs). J'ai donc un ESXi avec mes 2 VM PfSense et un client derrière. (ESXi donc j'ai pensé a accepter le mode promiscus/espion)

j'ai configuré les interfaces et tout, mais quand je commence a configurer CARP, je suis extrêmement surpris de voir que depuis la dernière mise a jour le parametrage est très limité. Je ne vois nulle-part ou configurer le lien PFSYNC.
Je me dis "bon ok ça doit automatiquement passer par l'une des interfaces pour le faire, je vais donc virer le lien PFSYNC"
Je fini de configurer le CARP, le passage master/backup marche parfaitement, mais les règles ne sont pas synchronisés.
Je me suis dit que c'était peut-être simplement le filtrage, donc j'ai essayé divers règles, puis j'ai pété un cable et je suis passé en any/any sur les 2 interfaces pour les 2 routeurs, mais toujours pas de synchronisation.

La je ne vois plus quoi faire, pourriez-vous m'aider ?
merci d'avance

jdh

Franchement, avec aussi peu d'infos, je ne vois personne répondre (sauf C…)

Si j'écris 'Avez vous conscience du très très peu d'informations que vous donnez ?' comment cela va-t-il être pris ?

chris4916

@jdh:

Franchement, avec aussi peu d'infos, je ne vois personne répondre (sauf C…)

;D ;D

Quand je lis ça à la suite d'un message précédent:

@jdh:

Ecrit par le toujours très rapide (et provocateur) Chris4916 ('Monsieur 20 minutes'),

je me demande vraiment quel est ton problème  ???

Tu n'es pas non plus obligé de commenter les messages auxquels tu ne souhaites pas répondre car ils ne contiennent pas, selon tes critères, assez d'information  :P
Surtout si c'est pour ne rien dire à part essayer de lancer une polémique supplémentaire  :-X

EDIT: typo  :-[

Tatave

Salut salut

Bon, premièrement je suis pour l'usage d'une sorte de fil conducteur qui est sur se fil == > https://forum.pfsense.org/index.php?topic=79600.0
la raison est simple, même si vous ne suivez pas à la lettre ce topic , vous donnez de bonne info.

Pour ce qui concerne votre question, en apporte d'office d'autres qui auraient été évitées si mon premier propos fut été lut et suivi.

• pourquoi ne pas avoir fait de sauvegarde de votre conf avant upgrade ?
• sans rentrer dans la controverse sur la virtualisation ou non de cette solution que je peux comprendre suivant le but, donc quel est le but de ce cluster ?
• comment faire un cluster sans lien entre les deux pf ? je suis dubitatif sur cette non connaissance d'un montage de cluster pf.
• il y a suffisamment de site qui parle du montage d'un cluster pf qu'ils soient en français ou d'autres langue dont les bons sites anglophones, qu'avez vous fait comme recherche ?

En résumé, pouvez vous vous conformer à mon premier point évoqué avec cela nous pourrons peu etre vous aider ou pas en fonction.
Ni voyez pas que nous vous prenons pour cible, mais avec votre poste de départ vous faites malencontreusement partie des personnes qui ont et auront le même type de première approche ou réponse de certain d'entre nous avec plus ou moins d’agressivité.

bon je ne suis trop mauvais bougre, je vous donne un indice

1 wan = 1 carp, 1lan = 1 carp, pour 3 cartes par machine.

Cordialement.

ps: relisez attentivement le point premier et faites une vrai recherche, vous n'aurez pas d'autre chance avec moi sur ces points la.

chris4916

@Fredw02:

Je fini de configurer le CARP, le passage master/backup marche parfaitement, mais les règles ne sont pas synchronisés.
Je me suis dit que c'était peut-être simplement le filtrage, donc j'ai essayé divers règles, puis j'ai pété un cable et je suis passé en any/any sur les 2 interfaces pour les 2 routeurs, mais toujours pas de synchronisation.

ça ne va pa résoudre le problème lié à la configuration de pfSync mais la prochaine fois, au lieu de passer en mode any/any, sache que depuis la 2.3 il y a possibilité de capturer les paquets relatifs à pfSync.

Par ailleurs, avec l'annonce de 2.3, il est précisé cette limitation avec IPV6. Est-ce que ce n'est pas ton cas ?
Es-tu également certain que tes 2 pfSense sont temporellement alignés ?

Fredw02

Tout d'abord merci a vous de votre rapidité et désolé du manque d'informations
Pour être franc j'attendais plus une réponse du style "pas besoin de pfsync" ou "si tu configure le pfsync ici", c'est pour ça que je ne vous ai pas envoyé toutes les informations. Bref, contant de voir que vous voulez aller plus loin, je vous en remercie.
Bon, maintenant pour vous répondre :

• pourquoi ne pas avoir fait de sauvegarde de votre conf avant upgrade ?

Car j'ai commencé par faire une mise a jour système après installation, et c'est seulement après que j'ai commencé a tout configurer.

• sans rentrer dans la controverse sur la virtualisation ou non de cette solution que je peux comprendre suivant le but, donc quel est le but de ce cluster ?

C'est un projet personnel pour m'entrainer donc je virtualise un réseau complet sur un serveur (je suis étudiant en école d'ingénieur informatique). Du coup mon réseau est protégé par 2 PfSense (pour une redondance)
voici cette partie :

Donc en haut le WAN (qui est en réalité un réseau privé mais peu importe) et en bas la DMZ

• comment faire un cluster sans lien entre les deux pf ? je suis dubitatif sur cette non connaissance d'un montage de cluster pf.

c'est la question que je vous pose justement, depuis la dernière mise a jour je ne vois nulle-part ou le configurer, donc je suppose qu'il passe par le WAN ou la DMZ comme le ping (qui passe).

Voilà la seule configuration de cluster que j'ai trouvé, aucune mention de pfsync.

• il y a suffisamment de site qui parle du montage d'un cluster pf qu'ils soient en français ou d'autres langue dont les bons sites anglophones, qu'avez vous fait comme recherche ?

j'ai pas mal cherché, il y a en effet plusieurs site qui parlent de cluster pfsense mais je n'en ai trouvé aucun qui en parle depuis la dernière mise a jour

ça ne va pa résoudre le problème lié à la configuration de pfSync mais la prochaine fois, au lieu de passer en mode any/any, sache que depuis la 2.3 il y a possibilité de capturer les paquets relatifs à pfSync.

ok merci pour l'info, d'ailleurs c'est vrai qu'on peux aussi ajouter un onglet "FW lors" dans le dashboard aussi pour vérifier ce qui est bloqué.

Par ailleurs, avec l'annonce de 2.3, il est précisé cette limitation avec IPV6. Est-ce que ce n'est pas ton cas ?
Es-tu également certain que tes 2 pfSense sont temporellement alignés ?

non j'utilise uniquement des IPv4 (comme le montre le schéma plus haut).
temporellement aligné ? ils sont tout deux connecté a internet donc je suppose

jdh

désolé du manque d'informations

Ceci est le 2ième fil que vous avez créé (et vous n'êtes intervenu sur aucun autre). Toujours sur le même sujet et toujours avec le même manque FLAGRANT d'informations.

Vous êtes en école d'ingénieur : vous comptez travailler comme ça dans votre vie professionnelle ?
Vous allez être détesté de vos futurs collègues : si, à chaque question, ils s(er)ont obligés de vous posez 10 questions pour avoir des infos afin de pouvoir vous répondre, ça ne va pas aller longtemps …

Foutue génération Y ...

Fredw02

merci pour tes précieux conseils jdh, mais comme je l'ai dis

j'attendais plus une réponse du style "pas besoin de pfsync" ou "si, tu configure le pfsync ici", c'est pour ça que je ne vous ai pas envoyé toutes les informations.

Ceci est le 2ième fil que vous avez créé (et vous n'êtes intervenu sur aucun autre)

oui en effet, si je viens ici c'est pour avoir de l'aide d'"experts pfsense", je ne vois pas comment aider des gens sur un sujet que je ne maitrise pas encore. J'aide aussi des gens mais sur des sujets que je maitrise mieux sur d'autres forum.

Sans vouloir te critiquer, je remarque d'ailleurs que tu est bon pour critiquer, mais que tu n'as même pas cherché a aider.
Je conclurai avec un gentil "Foutue génération 68arde"  :P

Bref, je ne suis pas venu ici pour parler de ça.

ccnet

Je vois que vous avez virtualisé tout cela. Ce n'est pas neutre, mais comme pas d'information je n'en parle pas plus.
Cela dit la bonne pratique pour un cluster consiste à utiliser une interface dédiée. Ici c'est wan qui est utilisée. Vous aimez vivre dangereusement. Avez vous la possibilité dans votre virtualisation de créer une interface qui sera dédiée à la synchro des éléments du cluster ?

Fredw02

Cela dit la bonne pratique pour un cluster consiste à utiliser une interface dédiée. Ici c'est wan qui est utilisée. Vous aimez vivre dangereusement. Avez vous la possibilité dans votre virtualisation de créer une interface qui sera dédiée à la synchro des éléments du cluster ?

Oui je peux le faire, c'était même prévu a la base mais comme je n'ai vu nulle-part ou la parramétrer en pfsync depuis la maj, je l'ai viré. je n'aurai peut-être pas du ?
Si je ne peux pas indiquer au PfSense sur quelle interface faire la synchronisation, c'est vraiment utile ?

jdh

Mon expérience de CARP/PFSYNC est trop ancienne (v1.3) et l'utilisation a changé profondément : plutôt que dire des idioties … et je ne suis pas du genre à répondre sur tous les sujets ...

Après le fil cité (où cela avait été déjà bien montré ... et où j'étais déjà intervenu ...), j'aurais espéré, comme d'autres, que vous auriez retenu qu'il faut fournir dès le départ des infos (et de préférence le formulaire).
C'est d'autant plus regrettable que, des gens, sans doute moins instruits que vous, en sont parfaitement capables (et dès le premier fil) : exemple https://forum.pfsense.org/index.php?topic=110460.0 et ils obtiennent des réponses …

Oui, ce conseil peut vous être utile dans votre vie future ...

Fredw02

d'accord merci jdh

jdh

Dans mon domaine de compétence, la virtualisation.

Pourquoi, dans votre premier fil, nous vous avons indiqué qu'il fallait 3 interfaces par pfSense et DE FACTO 3 vswitchs, vous ne reconstruisez pas cette nouvelle expérimentation sur les mêmes principes ?

Fredw02

Pourquoi, dans votre premier fil, nous vous avons indiqué qu'il fallait 3 interfaces par pfSense et DE FACTO 3 vswitchs, vous ne reconstruisez pas cette nouvelle expérimentation sur les mêmes principes ?

mon 1er fil avait un réseau similaire, et j'avais en effet déjà mon interface pfsync (le problème se situait au niveau du mode espion de vmware pour rappel) qui marchait bien au final.
Le problème, c'est les modifications depuis la mise a jour

c'était même prévu a la base mais comme je n'ai vu nulle-part ou la parramétrer en pfsync depuis la maj, je l'ai viré. je n'aurai peut-être pas du ?
Si je ne peux pas indiquer au PfSense sur quelle interface faire la synchronisation, c'est vraiment utile ?

Fredw02

petit up pour rappeler que mon problème n'est pas encore résolu.

petit résumé de la question : comment configurer pfsync sur la dernière version ?

ccnet

Avez vous ajouté l'interface dédiée ?

Tatave

Salut salut

Je ne vois pas où est le soucis.

Un cluster pfsense c'est avec 3 interface, bien que certain l'ai monté avec deux mais on eu des soucis de trafic soit sur le lan ou soit sur le wan.
Réaliser la mise en place d'un cluster pfsense 2-3, c'est la même qu'avec l'ancienne version depuis la 2-0.

J'ai dernièrement monté 2 clusters et ne j'ai pas eu de soucis :

• un par from scratch depuis la version 2-2 vers la 2-3.
• un par from scratch depuis la nouvelle version.
  avec le luxe d'avoir en prime 2 wan et 3 wan à gerer sur le cluster.

Il y a que quelques informations qui ne sont pas placées au même endroit mais tout y est.

Cordialement.

ps: il y a encore une fois full de tuto sur le sujet avec ou sans video.

Fredw02

Avez vous ajouté l'interface dédiée ?

oui j'ai rajouté l'interface pfsync avec des IP statique, mais comme je ne vois toujours pas où configurer le pfsync ça ne marche toujours pas.

Il y a que quelques informations qui ne sont pas placées au même endroit mais tout y est.

Avant on configurait ça dans Virtual IPs, , dans CARP settings de mémoire, mais maintenant la configuration de CARP est super rapide et je n'ai vu aucune mention de pfsync. Pouvez-vous m'indiquer a quel endroit ça a été déplacé s'il vous plait ? j'ai l'impression d'avoir fouillé partout mais je ne vois pas…

Tatave

Salut salut

Mais bordel, quand il faut prendre par la main comme cela, c'est usant.

Bon le mode op est le suivant

Tu montes tes vip, sur le wan et le sur lan ok
Tu paramétres ta carte de synchro dans firewall / rules  tu te positionne sur l'interface et tu mets les paramètres en pj
Tu vas ensuite dans System / High Availability Sync pour dire sur quelle interface tu vas faire ta synchro

il y a des informations a modifier sur les interfaces mais la je ne te les donnerais pas.
On te fait le travail et cela dénote que tu n'as pas fait une vrai recherche et tu passes pour un assisté.

Si tu as déjà monté un cluster par le passé et que tu as fait quelques recherches, tu devrais trouver sinon tu n'auras pas plus d'aide de ma part.

Cordialement, après c'est le supplice de la planche.

Fredw02

Tu vas ensuite dans System / High Availability Sync

:o comment j'ai fais pour le louper, j'ai l'impression d'avoir regardé 10 fois…

bon bin merci beaucoup de ton aide (c'était juste ça que je cherchais, l'endroit où ils avaient déplacés les config pfsync)

merci encore !