Suggestion - Nouvelle infrastructure
-
Merci encore !
Donc en parlant de Switch, tu conseillerais alors de ne pas en mettre et connecter les équipements directement entre elle ?
Merci
-
Tu ne peux pas ne pas mettre de switch ;D
La raison est que, par exemple, il te faut connecter sur un même réseau l'interface qui arrive du WAN et une interface de chaque pfSense. Le seul moyen de le faire, c'est au travers d'un switch.
Ceci étant, ça ne signifie pas nécessairement une machine physique supplémentaire. il y a des équipements qui ont des switch "embarqués"
Si tu n'utilise pas de switch embarqué mais un switch dédié, si c'est un switch manageable, la tentation est grande de le scinder en plusieurs switchs logiques "indépendants" afin de ne pas multiplier le hardware. Malheureusement, comme dans ce cas tu partages la même alimentation et la même carte mère pour touts les switchs, cette approche risque de te faire passer à coté d'un design qui, sur le papier, fonctionne mais qui ne fonctionne pas dans la vraie vie en cas de panne du-dit switch.
-
Avec les switch et un exemple de principe d'adressage, voila à quoi ça peut ressembler (dans la version "1 routeur / WAN pour n'avoir qu'une seule IP publique par WAN", sans quoi c'est trop touffu en représentant des routeurs à interfaces multiples)
ça fait quand même pas mal d'adresses IP à gérer. Un petit tableau est certainement le bienvenu non ?
-
Merci je me lance dans sa cette semaine ! On va voir ce que ca va donner :)
-
Bon quelques nouvelles,
J'ai enfin reussit a faire le lien pour le fibre100. J'avais des probleme de firewall de vlan avec les switch mais la c'est regler !! Aujourd'hui je vais configurer le 2ieme gateway afin de faire le failover je vous tiens au courant :)
-
J'ai presque fini de tous configurer, mais il semble y avoir un proleme au niveau de syncro du HA et aussi le failover des gateway.
Pour les gateway voila la configuration.
Jul 3 09:54:29 php-fpm 69190 /rc.dyndns.update: MONITOR: Fibre100 is down, omitting from routing group DATAFAILOVER
Jul 3 09:54:29 php-fpm 69190 /rc.openvpn: OpenVPN: One or more OpenVPN tunnel endpoints may have changed its IP. Reloading endpoints that may use Fibre100.
Jul 3 09:54:29 php-fpm 69190 /rc.filter_configure_sync: MONITOR: Fibre100 is down, omitting from routing group DATAFAILOVERCependant je n'arrive pas a faire des ping ou a me connecter sur les routeurs a partir de mon lan. (Sauf celui de la Fibre100, mais ca ping au niveau des Gateway. Donc je crois que c'est qu'un probleme de routages. Des idées pour corriger ceci ? Merci
Pour le HA, les lien pfsync sont bel et bien en place, et le ping voici, et le firewall est correct également, mais il me donne des erreurs de timeout
A communications error occurred while attempting XMLRPC sync with username admin https://172.16.127.252:443. @ 2016-07-03 10:10:02
-
Je viens de m'apercevoir en fait que tous le carp semble ne pas bien fonctionner… car les deux gateway affiche comme MASTER. Mais quand je vais sur mon adresse virtual sa me donne le premier qui est sensé etre MASTER.... Pourtant ma configuration semble correct, je n'arrive vraiment pas a trouver ou est le probleme exactement...
-
Salut salut
pourrais tu nous donner plus de détails comme
- les paramétres des gateway / gateway groups ?
- les paramétres rules / nat outbound
j'ai un doute sur les sources d'erreurs possible
-
Tu ne vas pas t'en sortir, à mon avis, si tu ne dissocies pas les problématiques et les domaines.
Comme tu n'as pas encore une compréhension détaillée de la manière dont ça fonctionne, vouloir régler en même temps d'éventuels problèmes de CARP et des problèmes de fail-over des gateway, c'est un peu trop compliqué.
Ce que je te suggère, c'est de monter une conf sur un pfSense unique dans laquelle le fail-over (et load-balancing si nécessaire) fonctionne. Ceci pour t'assurer que tu maîtrises bien cet aspect du problème.
Une fois que c'est fais, tu peux faire une conf "cluster", avec une seule gateway, pour vérifier que pfSync fonctionne, que tu maîtrises bien les aspects de synchro, VIP etc…
Il suffit ensuite d'appliquer à cette conf en cluster les règles de fail-over de GW validées lors de la première étape 8)
Tout faire en même temps est bien sûr réalisable... lorsque tu auras un peu d'expérience et que tout sera bine clair dans ta tête ;)
-
Il me manque peut-être des notions, mais je vais m'en sortir je ne vais certainement pas laisser tomber et je n'ai pas trop le choix de tous façon :)
J'ai déjà réussit a crée le CARP correctement, donc je sais pas trop pourquoi que la ca ne fonctionne pas. J'ai cependant réussit a faire fonctionner le pfsync, quand que je fais des modification dans le master il fait aussitôt la modification dans l'autre. Cependant comme je disais les deux sont en MASTER.
Aussitôt que j'aurais réglé ceci je vais m'attaquer au fail-over des wans donc je vais mettre les screenshot d'ici peu Tatave :)
-
J'ai corrigé en parti le sync entre mes routeurs. Quand je fais des modifications sur mon MASTER le GW-01 il les ajoutes automatiquement sur le GW-02.
Cependant, j'aimerais savoir si ce log est normal. J'ai pris cela sur mon routeur qui est sensé être en Backup mais qui affiche MASTER
Jul 5 13:26:44 php-fpm 84664 /status_carp.php: pfsync done in 30 seconds.
Jul 5 13:26:44 php-fpm 84664 /status_carp.php: Configuring CARP settings finalize…
Jul 5 13:26:50 check_reload_status Carp backup event
Jul 5 13:26:50 kernel igb0: promiscuous mode disabled
Jul 5 13:26:50 kernel igb0_vlan12: promiscuous mode disabled
Jul 5 13:26:50 kernel igb1: promiscuous mode disabled
Jul 5 13:26:50 kernel igb1_vlan11: promiscuous mode disabled
Jul 5 13:26:50 kernel igb2: promiscuous mode disabled
Jul 5 13:26:50 kernel igb2_vlan13: promiscuous mode disabled
Jul 5 13:26:50 kernel igb3: promiscuous mode disabled
Jul 5 13:26:50 kernel igb3_vlan125: promiscuous mode disabled
Jul 5 13:26:50 kernel igb4: promiscuous mode disabled
Jul 5 13:26:50 kernel igb4_vlan126: promiscuous mode disabled
Jul 5 13:26:50 check_reload_status Carp backup event
Jul 5 13:26:50 check_reload_status Carp backup event
Jul 5 13:26:50 check_reload_status Carp backup event
Jul 5 13:26:50 check_reload_status Carp backup event
Jul 5 13:26:51 php-fpm 17158 /rc.carpbackup: HA cluster member "(192.168.11.201@igb1_vlan11): (WANFIBRE100)" has resumed CARP state "BACKUP" for vhid 2
Jul 5 13:26:51 php-fpm 82529 /rc.carpbackup: HA cluster member "(192.168.12.201@igb0_vlan12): (WANCABLE)" has resumed CARP state "BACKUP" for vhid 1
Jul 5 13:26:51 php-fpm 17158 /rc.carpbackup: HA cluster member "(192.168.13.201@igb2_vlan13): (WANFIBRE10)" has resumed CARP state "BACKUP" for vhid 3
Jul 5 13:26:51 php-fpm 82529 /rc.carpbackup: HA cluster member "(172.16.125.254@igb3_vlan125): (LANDATA)" has resumed CARP state "BACKUP" for vhid 4
Jul 5 13:26:51 php-fpm 82529 /rc.carpbackup: Stopping OpenVPN instance on LANDATA because of transition to CARP backup.
Jul 5 13:26:51 kernel ovpns1: link state changed to DOWN
Jul 5 13:26:51 php-fpm 17158 /rc.carpbackup: HA cluster member "(172.16.126.254@igb4_vlan126): (LANVOIP)" has resumed CARP state "BACKUP" for vhid 5Je me demande donc vraiment si le problème n'est pas du a la mauvaise configuration au niveau de mes Switch et le Lunk Type (Access/Hybrid/Trunk)
Merci
-
Pour Tatave
Voici quelque screenshot, tu as besoin de d'autre chose pour bien comprendre ?
-
Le problème du Carp semble maintenant régler.
Il me reste juste a avoir accès a tous mes subnet pour que le failover des gateway fonctionne correctement ! Je suis très près du but.
-
Le problème du Carp semble maintenant régler
Ce qui serait bien, en tous cas très appréciable pour les autres, c'est que au lieu de "le problème semble réglé", tu expliques ce que tu as finalement fait pour régler le problème ;)
ça peut servir à d'autres qui seraient confrontés à un problème similaire -
Oui je vais faire un petit topo a la fin pour expliquer les changement que j'ai fais.
-
Salut saut
Voila mon routage load ballancing et failover box1 > box2 / failover box2 > box1
Et les regles sur le lan pour que la bascule soit active entre les deux box.
Et le nat que j'ai mis en place, pour votre cas il y aura un ligne en plus sur le meme principe.Comme vous le voyez je suis chez free et sous orange.
Bon courage pour la mise en oeuvre.
