Suggestion - Nouvelle infrastructure
-
Un point important qu'il me semble utile de mettre en avant dans ce type de discussion (je l'ai déjà brièvement évoqué) :
Nous discutons, avec ces différents schéma, uniquement des services sortants.
Pour les services entrants, à part le mail qui bénéficie, via les enregistrement de type MX, de poids différents qui permettent de donner une priorité aux liens WAN, il y a, si on souhaite bénéficier de la redondance les liens WAN, via le DNS, une répartition automatique qui s'appuie sur le mécanisme de round-robin (et donc un load-balancing approximatif) si un CNAME pointe au final vers plusieurs IP.Dans le cas de liens WAN de débits et de niveaux de service différents, cet aspect peut être assez délicat (c'est le cas ici avec 3 liens au caractéristiques très différentes).
Il convient donc de se poser la question de ces services entrants et même dans le cas où on a des IP fixes et un domaine publique, un mécanisme de type "dynamique DNS" peut rendre service 8)
-
Dans un premier temps un gros merci Chris pour ton aide, c'est agréable d'avoir de l'aide sans se sentir nul ou insulté :)
Ce que je recherche a été mal expliquer je crois mais je vais tenter de m'expliquer a nouveau
Voici ce qu'on avait autrefois
- 1 lien cable et un lien ADSL
- 2 supermicro
- 2 routeur de type maison qui set surtout de routeur, c'est la que les lien etait connecter
Ce que j'ai présentement
Équipement
- 2 SuperMicro (Seulement 4 port)
- 2 Netgate 4860
- J'ai également un modèle un peu comme le Netgate 2440 (Autre model pu en vente)
- Routeur de type maison (personel) style linksys (Que je ne souhaite pas utiliser)
Lien Internet
- Fibre 100 que je souhaite utiliser pour le DATA
- Fibre 10 que je souhaite utliser pour le VOIP
- Cable que je souhaite utiliser seulement en cas de panne de mes 2 liens fibre
Je n'ai pas rien d'autre a titre de routeur c'est donc la raison principal pourquoi j'utiliserais 2 équipements (probablement les supermicro vu qui sont moins performant que les 4860)
Ce que je souhaite réaliser
Mettre mes deux 4860 en Fail-Over (Cluster) puis que si un lien Fibre (le 100 ou le 10) tombe en panne qui soit automatiquement transférer vers le câble. J'aimerais également le moins possible avoir des adresse IP Public.
Je ne sais pas si cela est plus clair maintenant ?
Donc si je comprends bien je pourrais très bien mettre mes 2 SuperMicro et les faire agir comme routeur (même si c'est du overkill) qui seront connecter directement avec mes liens internet et ensuite mettre mes 2 4860 ?
-
Mettre mes deux 4860 en Fail-Over (Cluster) puis que si un lien Fibre (le 100 ou le 10) tombe en panne qui soit automatiquement transférer vers le câble. J'aimerais également le moins possible avoir des adresse IP Public.
Je ne sais pas si cela est plus clair maintenant ?
Donc si je comprends bien je pourrais très bien mettre mes 2 SuperMicro et les faire agir comme routeur (même si c'est du overkill) qui seront connecter directement avec mes liens internet et ensuite mettre mes 2 4860 ?
Disons que dans ton explication de ton "besoin" (qui raisonnablement est plus une description de solution que de besoin), comme tu n'exprimes pas de volonté de mettre en place un cluster de pfSense, tu pourrais obtenir ce que tu décris en terme de fail-over avec un seul pfSense (4860)
Il suffit de connecter chaque lien internet à une interface du 4860 et de définir des groupes au niveau routage comme expliqué au dessus.
Si tu veux faire un cluster de pfSense, il te faut idéalement 3 routeurs pour faire du NAT entre l'adresse IP publique de chaque lien et les 3 adresses correspondant pour les 2 pfSense + VIP.
Avec uniquement 2 routeurs, c'est techniquement faisable mais un peu "prise de tête".
-
D'accord je crois que je vais essayer avec 3 routeurs dans ce cas. Un pour chaque lien qui va être relier a mes deux 4860. Car je ne peux vraiment pas avoir un seul Pfsense au cas ou que celui tomberait en panne. Je dois être uptime le plus souvent possible.
Merci je regarde cela dés maintenant et je vous tiens au courant :)
-
avec 2 routeurs uniquement, il y a :
=> 1 routeur avec 3 interfaces (celui du cable sur mon schéma)
- 1 interface WAN
-> 1 IP publique - 2 interfaces LAN
-> 2 IP privées + 1 VIP
=> 1 routeur avec 6 interface parce que tu mettrais les 2 FTTH dessus :
- 1 interface par WAN (100 Mbps et 10 Mbps)
-> 2 IP publiques - 1 interface par lien WAN pour chaque pfSense
-> 4 IP privées + 2 VIP
Et sur le deuxième routeur, il faut prendre soin de bien router vers la bonne VIP ;D
Avec 3 routeurs, c'est 3 fois le schéma du lien "cable" de ce schéma, c'est à dire que tu "forward" vers la VIP et c'est tout.
Donc tout marche même avec le matériel dont tu disposes aujourd’hui mais ce n'est pas "basique" 8)
Bon courage
PS: il n'y a pas de switch sur le schéma. Si tu utilises des switchs que tu coupes en deux ou trois, attention aux SPoF ;)
- 1 interface WAN
-
Merci encore !
Donc en parlant de Switch, tu conseillerais alors de ne pas en mettre et connecter les équipements directement entre elle ?
Merci
-
Tu ne peux pas ne pas mettre de switch ;D
La raison est que, par exemple, il te faut connecter sur un même réseau l'interface qui arrive du WAN et une interface de chaque pfSense. Le seul moyen de le faire, c'est au travers d'un switch.
Ceci étant, ça ne signifie pas nécessairement une machine physique supplémentaire. il y a des équipements qui ont des switch "embarqués"
Si tu n'utilise pas de switch embarqué mais un switch dédié, si c'est un switch manageable, la tentation est grande de le scinder en plusieurs switchs logiques "indépendants" afin de ne pas multiplier le hardware. Malheureusement, comme dans ce cas tu partages la même alimentation et la même carte mère pour touts les switchs, cette approche risque de te faire passer à coté d'un design qui, sur le papier, fonctionne mais qui ne fonctionne pas dans la vraie vie en cas de panne du-dit switch.
-
Avec les switch et un exemple de principe d'adressage, voila à quoi ça peut ressembler (dans la version "1 routeur / WAN pour n'avoir qu'une seule IP publique par WAN", sans quoi c'est trop touffu en représentant des routeurs à interfaces multiples)
ça fait quand même pas mal d'adresses IP à gérer. Un petit tableau est certainement le bienvenu non ?
-
Merci je me lance dans sa cette semaine ! On va voir ce que ca va donner :)
-
Bon quelques nouvelles,
J'ai enfin reussit a faire le lien pour le fibre100. J'avais des probleme de firewall de vlan avec les switch mais la c'est regler !! Aujourd'hui je vais configurer le 2ieme gateway afin de faire le failover je vous tiens au courant :)
-
J'ai presque fini de tous configurer, mais il semble y avoir un proleme au niveau de syncro du HA et aussi le failover des gateway.
Pour les gateway voila la configuration.
Jul 3 09:54:29 php-fpm 69190 /rc.dyndns.update: MONITOR: Fibre100 is down, omitting from routing group DATAFAILOVER
Jul 3 09:54:29 php-fpm 69190 /rc.openvpn: OpenVPN: One or more OpenVPN tunnel endpoints may have changed its IP. Reloading endpoints that may use Fibre100.
Jul 3 09:54:29 php-fpm 69190 /rc.filter_configure_sync: MONITOR: Fibre100 is down, omitting from routing group DATAFAILOVERCependant je n'arrive pas a faire des ping ou a me connecter sur les routeurs a partir de mon lan. (Sauf celui de la Fibre100, mais ca ping au niveau des Gateway. Donc je crois que c'est qu'un probleme de routages. Des idées pour corriger ceci ? Merci
Pour le HA, les lien pfsync sont bel et bien en place, et le ping voici, et le firewall est correct également, mais il me donne des erreurs de timeout
A communications error occurred while attempting XMLRPC sync with username admin https://172.16.127.252:443. @ 2016-07-03 10:10:02
-
Je viens de m'apercevoir en fait que tous le carp semble ne pas bien fonctionner… car les deux gateway affiche comme MASTER. Mais quand je vais sur mon adresse virtual sa me donne le premier qui est sensé etre MASTER.... Pourtant ma configuration semble correct, je n'arrive vraiment pas a trouver ou est le probleme exactement...
-
Salut salut
pourrais tu nous donner plus de détails comme
- les paramétres des gateway / gateway groups ?
- les paramétres rules / nat outbound
j'ai un doute sur les sources d'erreurs possible
-
Tu ne vas pas t'en sortir, à mon avis, si tu ne dissocies pas les problématiques et les domaines.
Comme tu n'as pas encore une compréhension détaillée de la manière dont ça fonctionne, vouloir régler en même temps d'éventuels problèmes de CARP et des problèmes de fail-over des gateway, c'est un peu trop compliqué.
Ce que je te suggère, c'est de monter une conf sur un pfSense unique dans laquelle le fail-over (et load-balancing si nécessaire) fonctionne. Ceci pour t'assurer que tu maîtrises bien cet aspect du problème.
Une fois que c'est fais, tu peux faire une conf "cluster", avec une seule gateway, pour vérifier que pfSync fonctionne, que tu maîtrises bien les aspects de synchro, VIP etc…
Il suffit ensuite d'appliquer à cette conf en cluster les règles de fail-over de GW validées lors de la première étape 8)
Tout faire en même temps est bien sûr réalisable... lorsque tu auras un peu d'expérience et que tout sera bine clair dans ta tête ;)
-
Il me manque peut-être des notions, mais je vais m'en sortir je ne vais certainement pas laisser tomber et je n'ai pas trop le choix de tous façon :)
J'ai déjà réussit a crée le CARP correctement, donc je sais pas trop pourquoi que la ca ne fonctionne pas. J'ai cependant réussit a faire fonctionner le pfsync, quand que je fais des modification dans le master il fait aussitôt la modification dans l'autre. Cependant comme je disais les deux sont en MASTER.
Aussitôt que j'aurais réglé ceci je vais m'attaquer au fail-over des wans donc je vais mettre les screenshot d'ici peu Tatave :)
-
J'ai corrigé en parti le sync entre mes routeurs. Quand je fais des modifications sur mon MASTER le GW-01 il les ajoutes automatiquement sur le GW-02.
Cependant, j'aimerais savoir si ce log est normal. J'ai pris cela sur mon routeur qui est sensé être en Backup mais qui affiche MASTER
Jul 5 13:26:44 php-fpm 84664 /status_carp.php: pfsync done in 30 seconds.
Jul 5 13:26:44 php-fpm 84664 /status_carp.php: Configuring CARP settings finalize…
Jul 5 13:26:50 check_reload_status Carp backup event
Jul 5 13:26:50 kernel igb0: promiscuous mode disabled
Jul 5 13:26:50 kernel igb0_vlan12: promiscuous mode disabled
Jul 5 13:26:50 kernel igb1: promiscuous mode disabled
Jul 5 13:26:50 kernel igb1_vlan11: promiscuous mode disabled
Jul 5 13:26:50 kernel igb2: promiscuous mode disabled
Jul 5 13:26:50 kernel igb2_vlan13: promiscuous mode disabled
Jul 5 13:26:50 kernel igb3: promiscuous mode disabled
Jul 5 13:26:50 kernel igb3_vlan125: promiscuous mode disabled
Jul 5 13:26:50 kernel igb4: promiscuous mode disabled
Jul 5 13:26:50 kernel igb4_vlan126: promiscuous mode disabled
Jul 5 13:26:50 check_reload_status Carp backup event
Jul 5 13:26:50 check_reload_status Carp backup event
Jul 5 13:26:50 check_reload_status Carp backup event
Jul 5 13:26:50 check_reload_status Carp backup event
Jul 5 13:26:51 php-fpm 17158 /rc.carpbackup: HA cluster member "(192.168.11.201@igb1_vlan11): (WANFIBRE100)" has resumed CARP state "BACKUP" for vhid 2
Jul 5 13:26:51 php-fpm 82529 /rc.carpbackup: HA cluster member "(192.168.12.201@igb0_vlan12): (WANCABLE)" has resumed CARP state "BACKUP" for vhid 1
Jul 5 13:26:51 php-fpm 17158 /rc.carpbackup: HA cluster member "(192.168.13.201@igb2_vlan13): (WANFIBRE10)" has resumed CARP state "BACKUP" for vhid 3
Jul 5 13:26:51 php-fpm 82529 /rc.carpbackup: HA cluster member "(172.16.125.254@igb3_vlan125): (LANDATA)" has resumed CARP state "BACKUP" for vhid 4
Jul 5 13:26:51 php-fpm 82529 /rc.carpbackup: Stopping OpenVPN instance on LANDATA because of transition to CARP backup.
Jul 5 13:26:51 kernel ovpns1: link state changed to DOWN
Jul 5 13:26:51 php-fpm 17158 /rc.carpbackup: HA cluster member "(172.16.126.254@igb4_vlan126): (LANVOIP)" has resumed CARP state "BACKUP" for vhid 5Je me demande donc vraiment si le problème n'est pas du a la mauvaise configuration au niveau de mes Switch et le Lunk Type (Access/Hybrid/Trunk)
Merci
-
Pour Tatave
Voici quelque screenshot, tu as besoin de d'autre chose pour bien comprendre ?
-
Le problème du Carp semble maintenant régler.
Il me reste juste a avoir accès a tous mes subnet pour que le failover des gateway fonctionne correctement ! Je suis très près du but.
-
Le problème du Carp semble maintenant régler
Ce qui serait bien, en tous cas très appréciable pour les autres, c'est que au lieu de "le problème semble réglé", tu expliques ce que tu as finalement fait pour régler le problème ;)
ça peut servir à d'autres qui seraient confrontés à un problème similaire -
Oui je vais faire un petit topo a la fin pour expliquer les changement que j'ai fais.
