Problema con CARP



  • Ciao a tutti!
    Premetto che sono nuovo a pfSense, ma devo dire che questo firewall mi sta dando grande soddisfazioni!! Ma veniamo subito al problema…
    Ho appena installato due nodi in cluster con CARP (pfSense versione 1.2.1-RC1). Inizialmente ho avuto problemi con la sincronia dei due nodi (il solito "An error code was received while attempting XMLRPC sync with username admin e bla bla bla..."), risolto aggiornando all'ultima RC1 disponibile e disabilitando l'Https.
    La questione ora è la seguente:

    • Firewall 1 Master: IP pubblico WAN1, IP privato LAN1 (e rete di sincronia);
    • Firewall 2 Slave: IP pubblico WAN2, IP privato LAN2 (e rete di sincronia);
    • VIP: IP pubblico VIP_WAN, IP privato VIP_LAN.

    Sul firewall primario al momento ho 4 regole di NAT:

    1- NAT sulla porta 22 del pubblico WAN1 sul privato LAN1 per raggiungere il firewall in SSH da Internet;
    2- NAT sulla porta 80 del pubblico WAN1 sul privato LAN1 per raggiungere il firewall in HTTP da Internet;
    3- NAT sulla porta 22 del VIP sul privato LAN1 per raggiungere il firewall 1 in SSH da Internet quando è in modalità master;
    4- NAT sulla porta 80 del VIP sul privato LAN1 per raggiungere il firewall 1 in HTTP da Internet quando è in modalità master;

    Sulle prime 2 regole, ho abilitato il "No XMLRPC Sync", in modo che tali regole non vengano replicate nel nodo slave.

    Sul firewall secondario volevo replicare la situazione del master, cambiando ovviamente gli IP.
    Ho quindi fatto a mano le precedenti regole 1 e 2 (adattandole ai nuovi IP WAN2 e LAN2). Per le regole 3 e 4, ho invece abilitato il "Synchronize nat" e il "Synchronize Virtual IPs" nelle impostazioni CARP.
    Quando avviene il sync, la situazione risultante nel nodo slave è la seguente: le regole 1 e 2 scritte a mano vengono sostituite da delle regole in cui ho WAN nella if, nulla in Proto, Ext. port range, NAT IP, Int. port range, mentre le altre regole per gli indirizzi VIP vengono correttamente sincronizzate.

    In questo modo perdo quindi la possibilità di raggiungere in SSH e in HTTP da Internet il firewall slave, venendo a mancare la relativa regola di NAT.

    In che cosa sto sbagliando?

    Grazie in anticipo,

    ZeroByte


Locked