Configuring High Availability CARP
-
https://www.provya.com/blog/pfsense-configuring-high-availability/
-
@werter said in Configuring High Availability CARP:
https://www.provya.com/blog/pfsense-configuring-high-availability/
В большинстве подобных мануалов рассматривается тестовая конфигурация с "серыми" адресами на WAN.
В первоисточнике
https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html#table-wan-ip-address-assignments
Адреса используются "белые", при этом говорится:
The WAN addresses will be selected from those assigned by the ISP.
То есть без поддержки ISP (а у меня они разные, плюс оба PPOE) CARP организовать не получится? -
@pigbrother said in Configuring High Availability CARP:
@werter said in Configuring High Availability CARP:
https://www.provya.com/blog/pfsense-configuring-high-availability/
В большинстве подобных мануалов рассматривается тестовая конфигурация с "серыми" адресами на WAN.
В первоисточнике
https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html#table-wan-ip-address-assignments
Адреса используются "белые", при этом говорится:
The WAN addresses will be selected from those assigned by the ISP.
То есть без поддержки ISP (а у меня они разные, плюс оба PPOE) CARP организовать не получится?Не получится - нужно три белых IP на WAN интерфейсе, по одному на каждый файрволл и один непосредственно для самого CARP VIP.
Если хочется хоть какой-то отказоустойчивости, то в вашем случае можно настроить динамического переключение маршрутов (Gateway Groups), чтобы в случае отвала одного из ISP, pfSense направлял трафик через другой файрвол
-
@viktor_g said in Configuring High Availability CARP:
чтобы в случае отвала одного из ISP, pfSense направлял трафик через другой файрвол
Спасибо за ответ. Желание было не так резервировать канал\доступ в интернет, как подстраховаться от неисправности собственно pfSense, неважно "железного" или виртуализированного.
-
@pigbrother said in Configuring High Availability CARP:
@viktor_g said in Configuring High Availability CARP:
чтобы в случае отвала одного из ISP, pfSense направлял трафик через другой файрвол
Спасибо за ответ. Желание было не так резервировать канал\доступ в интернет, как подстраховаться от неисправности собственно pfSense, неважно "железного" или виртуализированного.
Как вариант сделать вроде холодного резерва - настроить аналогичный pfSense, но не подключать к сети, лишь подключить к работающему pfSense по SYNC интерфейсу и настроить XMLRPC sync, чтобы конфигурация всегда была актуальна.
В случае выхода из строя основного pfSense, достаточно будет подключить резервный к сети. -
@viktor_g said in Configuring High Availability CARP:
В случае выхода из строя основного pfSense, достаточно будет подключить резервный к сети.
Идея, безусловно заслуживающая внимания.
P.S
Обязательно ли Sync заводить отдельную сеть? В принципе, синхронизируется ведь не такой уж большой объем данных? -
@pigbrother said in Configuring High Availability CARP:
@viktor_g said in Configuring High Availability CARP:
В случае выхода из строя основного pfSense, достаточно будет подключить резервный к сети.
Идея, безусловно заслуживающая внимания.
P.S
Обязательно ли Sync заводить отдельную сеть? В принципе, синхронизируется ведь не такой уж большой объем данных?При таком резервировании обязательно - ведь на остальных интерфейсах у вас будут одинаковые IP что на основной, что на резервной pfSense
-
@viktor_g said in Configuring High Availability CARP:
ведь на остальных интерфейсах у вас будут одинаковые IP
Да, действительно. Спасибо.