Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problema con CARP

    Scheduled Pinned Locked Moved
    Italiano
    1
    1
    1.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Z
      ZeroByte
      last edited by

      Ciao a tutti!
      Premetto che sono nuovo a pfSense, ma devo dire che questo firewall mi sta dando grande soddisfazioni!! Ma veniamo subito al problema…
      Ho appena installato due nodi in cluster con CARP (pfSense versione 1.2.1-RC1). Inizialmente ho avuto problemi con la sincronia dei due nodi (il solito "An error code was received while attempting XMLRPC sync with username admin e bla bla bla..."), risolto aggiornando all'ultima RC1 disponibile e disabilitando l'Https.
      La questione ora è la seguente:

      • Firewall 1 Master: IP pubblico WAN1, IP privato LAN1 (e rete di sincronia);
      • Firewall 2 Slave: IP pubblico WAN2, IP privato LAN2 (e rete di sincronia);
      • VIP: IP pubblico VIP_WAN, IP privato VIP_LAN.

      Sul firewall primario al momento ho 4 regole di NAT:

      1- NAT sulla porta 22 del pubblico WAN1 sul privato LAN1 per raggiungere il firewall in SSH da Internet;
      2- NAT sulla porta 80 del pubblico WAN1 sul privato LAN1 per raggiungere il firewall in HTTP da Internet;
      3- NAT sulla porta 22 del VIP sul privato LAN1 per raggiungere il firewall 1 in SSH da Internet quando è in modalità master;
      4- NAT sulla porta 80 del VIP sul privato LAN1 per raggiungere il firewall 1 in HTTP da Internet quando è in modalità master;

      Sulle prime 2 regole, ho abilitato il "No XMLRPC Sync", in modo che tali regole non vengano replicate nel nodo slave.

      Sul firewall secondario volevo replicare la situazione del master, cambiando ovviamente gli IP.
      Ho quindi fatto a mano le precedenti regole 1 e 2 (adattandole ai nuovi IP WAN2 e LAN2). Per le regole 3 e 4, ho invece abilitato il "Synchronize nat" e il "Synchronize Virtual IPs" nelle impostazioni CARP.
      Quando avviene il sync, la situazione risultante nel nodo slave è la seguente: le regole 1 e 2 scritte a mano vengono sostituite da delle regole in cui ho WAN nella if, nulla in Proto, Ext. port range, NAT IP, Int. port range, mentre le altre regole per gli indirizzi VIP vengono correttamente sincronizzate.

      In questo modo perdo quindi la possibilità di raggiungere in SSH e in HTTP da Internet il firewall slave, venendo a mancare la relativa regola di NAT.

      In che cosa sto sbagliando?

      Grazie in anticipo,

      ZeroByte

      1 Reply Last reply Reply Quote 0
      • First post
        Last post