PFsense HA via CARP

mamatov

Bonjour,

J'ai pour projet d'installer un cluster de Pfsense en HA via CARP. (cf attachement pour l'architecture future).

Mon hébergeur me fourni un pool d’adresse IP publique (3 sous réseaux en /27 donc 90 IP publiques).
Pour l'instant, il me met à disposition l'accès wan via un seul câble ethernet.

Ma Configuration du cluster souhaité :

PFsense01

IP LAN : 172.16.0.1 / 16
IP WAN : 217.x.x.10 /27
IP Sync HA : 192.168.200.1 / 24

PFsense02

IP LAN : 172.16.0.2 /16
IP WAN : 217.x.x.11 / 27
IP Sync HA : 192.168.200.2 / 24

Configuration du cluster HA
IP LAN du cluster : 172.16.0.254 / 16
IP WAN du cluster : 217.x.x.12 / 27

Quelques questions :

• Mon hébergeur peut me fournir un deuxième câble pour pourvoir connecter mon deuxième pfsense. Est-ce que c'est la bonne solution pour vous ? Sinon quelles sont mes alternatives  ? Je veux bien sur avoir de la redondance. Pas question de mettre un seul switch avec mes 2 pfsense.

• je crois que l'on peut utiliser une ip privé pour les interfaces WAN depuis la version 2.2. Est-ce que quelqu'un peut confirmer ?

Merci d'avance.

ccnet

@mamatov:

• Mon hébergeur peut me fournir un deuxième câble pour pourvoir connecter mon deuxième pfsense. Est-ce que c'est la bonne solution pour vous ? Sinon quelles sont mes alternatives  ? Je veux bien sur avoir de la redondance.

Dès lors que les trois ip utilisées pour la configuration sont dans le même sous réseau et accessibles par les deux interfaces Wan de chaque machine Pfsense c'est a priori fonctionnel.

Pas question de mettre un seul switch avec mes 2 pfsense.

Et pourquoi pas ?

• je crois que l'on peut utiliser une ip privé pour les interfaces WAN depuis la version 2.2. Est-ce que quelqu'un peut confirmer ?

Cela est possible depuis bien longtemps. Mais cela implique une double translation, ce qui n'est pas toujours idéal (euphémisme délicat).

mamatov

Ok merci pour ces réponses.

Mais pourquoi c'est à priori fonctionnel ? Il y a des cas ou cela peut poser problèmes ?

Je ne veut pas mettre un seul switch en cas de défaillance de ce dernier. Je veux de la redondance sur toute mon infra en cas de problème.
Elle sera destinée à héberger des applications pour nos clients. Je ne peux pas me permettre de coupure de production.

Donc l'idéal est d'utiliser 3 IP publiques quand on peut pour un fonctionnement optimal.

ccnet

Je ne sais pas ce qu'il y a au bout des câbles de votre isp.

Je ne veut pas mettre un seul switch en cas de défaillance de ce dernier.

Certains produits gère la redondance.

Donc l'idéal est d'utiliser 3 IP publiques quand on peut pour un fonctionnement optimal.

Dans le doute : c'est le principe même de CARP.
https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_%28CARP%29
Sinon oui pour éviter les doubles translations qui impliquent la présence d'un équipement donc potentiellement défaillant.
Certains protocoles n'aiment pas beaucoup cela. Globalement c'est une complication sans contrepartie fonctionnelle.

mamatov

Certains produits gère la redondance.

Tu peux me donner plus de précision ? Mon hébergeur me facture 1000 € pour me mettre en place une seconde rocade cuivre.

Si je n'ai qu'une rocade cuivre et que je veux faire du ha avec mes pfsense, quelles sont mes solutions ?

• Un switch ou je connecte mes 2 pfsense mais si le switch tombe je perds mon réseau.

Autre solution ?

Merci