Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VIP CARP sur le WAN chez OVH

    Scheduled Pinned Locked Moved Français
    7 Posts 4 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gabi007
      last edited by

      Bonjour à tous,
      J'avais envie de monter un HA de pfsense sur un environnement virtualisé chez OVH, je trouve de nombreux sujet mais aucun n’apporte la solution (si elle existe !!).
      Le principal problème que je rencontre est lié a l’hébergeur qui pour attribuer une  adresse IP publique l'associe a une adresse MAC( possession d'une plage /29 bien entendu 3 seront reservé au CARP et au pfsense ).

      Du coup pour que cela soit fonctionnel il faudrait que les adresses IP des deux pfsense utilise la même MAC ainsi que l'adresse VIP CARP, ce qui risque de provoquer des conflit d'un point de vue réseau (c'est peut être la que je me trompe).

      Les pfsense seront utilisé pour faire du NAT ( portforward) et un lien openvpn vers différents utilisateurs .

      Savez vous si ce type de solution a déjà été mise en place? ( je l'avait tester en lab privé mais pas pris en compte cette histoire de mac d'ou mon tirage de cheveux)

      je reste a dispo pour des test ( a ce moment je vous mettrais bien entendu toute les configurations)

      1 Reply Last reply Reply Quote 0
      • G
        gabi007
        last edited by

        avant de me faire taper sur les doigt je vais quand même mettre ce que j'avais préparé :)

        Contexte : milieu pro –> nouvelle environnement
        Besoin : virtualisation chez OVH ( pas bien je sait mais je n'ai pas le choix)  d'une solution firewall avec l'utilisation de CARP coté WAN / LAN

        Schéma : exterieur –> IPfailoverCARP --> pfsense1 ou pfsense2 --> DMZ
        LAN/DMZ --> pfsense1 ou pfsense2 --> IPFailoverCARP--> exterieur

        pfsense1 (v2.3.2_p1) :
        4 interface
        WAN --> 37.xx.xx.187/29
        LAN-->VLAN16--> 172.16.0.1/13
        LAN-->VLAN24-->10.0.0.1/8
        DMZ-->192.168.0.1/17
        PSYNC--> 192.168.255.1/24
        pfsense2 (v2.3.2_p1):
        4 interface
        WAN --> 37.xx.xx.188/29
        LAN-->VLAN16--> 172.16.0.2/13
        LAN-->VLAN24-->10.0.0.2/8
        DMZ-->192.168.0.2/17
        PSYNC--> 192.168.255.2/24
        CARPVIP
        WAN --> 37.xx.xx.189/29
        LAN-->VLAN16--> 172.16.0.10/13
        LAN-->VLAN24-->10.0.0.10/8
        DMZ-->192.168.0.10/17

        OPENVPN -->192.168.254.X/24

        Paquage : 
        -shellcmd –> pour paramétrer les route de sortie OVH ( defaultgw --> passerelle du serveur ESX)
        -VMtools --> je ne vais pas vous le décrire ;)
        -openvpnclientexport --> utilisation pour exctraction d'installation openvpn

        Infos divers:
        LAN/DMZ –> pas de serveur DHCP
        IPV6 --> désactivé

        config PSync : decochage du DHCP Server Settings et captive portal ( non utilisé )

        Règles NAT :
        -Outbound –> manuel, régle du VLAN16: source * :destination * : port * :NAT ADRESSE 37.xx.xx.189(CARP VIP WAN)
        -Port forward --> futur mise en place de certaines IP public qui seront déclaré en virtual IP sur l'interface WAN ( devront être accessible avec le pfsense1 ou pfsense2)

        Règles Firewall : rien de particulier

        Architecture ESX :
        -WAN un vswitch, connecté a la carte réseau de la machine physique, avec les option ' promiscuous mode / MAC Address changes / Forged transmits'
        -LAN un autre vwsitch  avec les options….

        -DMZ encore un autre vswitch  avec les options
        -Psync  an other vswitch

        Autres fonctions assignées au pfSense : OPENVPN, et il n'y aura rien d'autre :) un parfeu reste un parfeu

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          (C'est mieux d'utiliser le formulaire …)

          Je ne réponds pas à la question : je pose juste une question :

          Combien de machines sous ESX ?

          Parce que, si un seul hyperviseur, je ne vois aucun intérêt à faire du cluster de pfSense sur un seul hôte ESXi ... (sauf à consommer du cpu et de la ram)

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • G
            gabi007
            last edited by

            Bonjour Jdh,
            Je suis bien d'accord avec vous sur le cluster sur une unique machine …
            aprés je sais que la HA ne serra pas complétement gérer pour le moment car les ESX sont sur les mêmes datacenter :) (et d'autres raison ... Carte réseau de la machine non dupliqué ... )

            On avance tranquillement mais plus tard ,quand les finance seront la nous ne nous poserons plus de question ;) ( Zerto + multi cloud dédié ... :) )

            1 Reply Last reply Reply Quote 0
            • G
              gabi007
              last edited by

              Bonjour,
              malgré ce temps prévue pour les f^tes de fin d'année j'ai pu effectuer des test avec une  première configuration

              Configuration pfsense VMware : même adresse mac pour les deux host (00:50:56:XX:XX:XX:01)
              Configuration Pfsense  :
              -forcer la communication de l'adresse MAC avec la même pour les deux host sur les interfaces WAN (00:50:56:XX:XX:XX:01)
              -IPv4 Upstream gateway : aucune de déclaré

              Arret pfsense2 –> ping depui le lan ok par pfsense1, internet OK
              Démarage pfsense2 –> ping depui lan HS vers internet

              ARP TABLE pfsnes2
              WAN 37.XXX.XXX.189 00:ff:ff:ff:ff:ff
              WAN 37.XXX.XXX.188 00:50:56:XX:XX:XX:01
              WAN 37.XXX.XXX.187 00:ff:ff:ff:ff:ff

              ARPTABLE pfsense1
              WAN 37.XXX.XXX.189 00:ff:ff:ff:ff:ff
              WAN 37.XXX.XXX.188 00:50:56:XX:XX:XX:01
              WAN 37.XXX.XXX.187 00:50:56:XX:XX:XX:01

              pfsense1 –> supression ARP .188 --> ping host client HS
              pfsense1 --supression ARP .189 --> ping host client HS

              ppfsense1
              WAN 37.XXX.XXX.188 00:ff:ff:ff:ff:ff
              WAN 37.XXX.XXX.187 00:50:56:XX:XX:XX:01
              pfsense2
              WAN 37.XXX.XXX.187 00:ff:ff:ff:ff:ff
              WAN 37.XXX.XXX.188 00:50:56:XX:XX:XX:01
              WAN 37.XXX.XXX.189 00:ff:ff:ff:ff:ff

              pfsense2 --> suppression ARP .188 -> HS
              pfsense2 --> suppression ARP .187--> HS

              Arret pfsense1 –> ping du lan OK –> tracert passe bien sur le pfsense2
              redémarage du pfsense1 --> ping lan  HS --tracert pass sur pfsense1
              ARP TAble Pfsense1
              WAN 37.XXX.XXX.187 00:50:56:XX:XX:XX:01
              WAN 37.XXX.XXX.188 00:ff:ff:ff:ff:ff
              WAN 37.XXX.XXX.189 00:50:56:XX:XX:XX:01
              WAN 37.187.150.37 00:ff:ff:ff:ff:ff  (machine ESX aprés test de ping OK en intra lan malgré impossible sur l'exterieur))

              ARP TAble Pfsense2
              WAN 37.XXX.XXX.187 00:ff:ff:ff:ff:ff
              WAN 37.XXX.XXX.188 00:50:56:XX:XX:XX:01
              WAN 37.XXX.XXX.189 00:00:5e:00:01:04

              Resultat tracert host lan
              1    <1 ms    <1 ms    <1 ms  172.16.0.1
              2    2 ms    3 ms    2 ms  37.XXX.XXX.25
              3    <1 ms    <1 ms    <1 ms  37.XXX.XXX.37

              arret pfsense2 –> ping du lan vers net HS ping de l'host ESX OK
              depuis pfsense1->> ping ESX OK --> ping ip public + CARP OK --> ping internet HS

              ARP TAble Pfsense1
              WAN 37.XXX.XXX.187 00:50:56:XX:XX:XX:01
              WAN 37.XXX.XXX.188 00:ff:ff:ff:ff:ff
              WAN 37.187.150.37 00:ff:ff:ff:ff:ff

              de plus niveau log firewall j'ai des requete entrante ( monitoring hebergeur )

              Action Time Interface Source Destination Protocol
              PASS Dec 27 11:14:49 WAN 167.XXX.Xxx.1 37.XXX.XXX.188 ICMP
              PASS Dec 27 11:14:49 WAN 92.XXX.XXX.1 37.XXX.XXX.189 ICMP
              PASS Dec 27 11:14:49 WAN 92.XXX.XXX.1 37.XXX.XXX.187 ICMP
              PASS Dec 27 11:14:49 WAN 167.XXX.XXX.1 37.XXX.XXX.187 ICMP

              Arret relance de la carte WAN rien de spécial

              Suppresion du .189 dans la table ARP –> ping depuis le HOST LAN vers internet OK

              TABLE ARP pfsense1
              WAN 37.XXX.XXX.187 00:XX:XX:XX:XX:4c
              WAN 37.XXX.XXX.188 00:ff:ff:ff:ff:ff
              WAN 37.XXX.XXX.189 00:ff:ff:ff:ff:ff

              Je ne sais pas si cel peu vous orienter, je ferait une autre série de test avec VMWARE configurer en MAC autmatique et forcer la MAC uniquement au niveau de la configuration pfsense.

              Que pensez vous au niveau de la Gateway, normalement cela est néscéssaire pour que la sortie s'effectue toujours par la même IP ?

              Ma solution viable en labo peut elle etre mise en place sur un environnent fournis par un hebergeur ?

              1 Reply Last reply Reply Quote 0
              • T
                trixbox
                last edited by

                jdh

                Certes pas un très grand intérêt mais ça peut servir en cas de besoin de redémarrer le PfSense (mise à jour ….)

                1 Reply Last reply Reply Quote 0
                • S
                  servergizmo
                  last edited by

                  Salut gabi007

                  Je voudrais savoir si tu as réussi ce que tu voulais faire.

                  Merci

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.