Cluster PFSense



  • Bonjour,

    Après des jours de recherche, je ne vois pas la solution à mon problème. Je viens donc à vous pour pouvoir éventuellement m'aider. En espérant vous apportez assez d'informations et que cela soit claire selon votre charte.

    Contexte : Contexte personnel, débutant dans le milieu de PFSense, Configuration de deux PFSense sous la version 2.3.2_1

    Besoin : Je souhaiterais faire de la HA, j'ai donc 2 PFSense (1 Master et 1 Slave) avec 1 client. Si mon premier PFSense tombe, le deuxième prendrais le relais et inversement.

    • J'ai à ma disposition deux switch :
          => 1 pour le LAN (les 2 PFSense et le client sont branchés dessus)
          => 1 pour le WAN (les deux PFSense + connexion en ethernet sur la livebox)
    • Mes deux cartes OPT1 sont branchées sur un HUB pour que les PF puissent communiquer

    Je vous expose donc un Schema :

    Mes adressages sont:
    1er PFSense :   
    WAN = 192.168.0.2  /24
    LAN = 192.168.1.1  /24
    OPT1 = 10.33.10.1  /24

    2ième PFSense :
    WAN = 192.168.0.3 /24
    LAN = 192.168.1.2  /24
    OPT1 = 10.33.10.2  /24

    Client :
    Adresse = 192.168.1.11
    Gateway = 192.168.1.5
    DNS = 192.168.1.5

    J'ai mis en place des "rules" dans le LAN pour autoriser toutes les IPV4, pareil pour OPT1, j'en ai même rajouté une pour la synchronisation (PFSYNC). Mais aucune règle dans la partie WAN et Floating
    Le DHCP Server est activé dans la partie LAN seulement.
    Pour la configuration de ma carte OPT1 de mes deux PFSense, je n'ai indiqué aucune passerelle par défaut
    J'ai ensuite créer mes deux IP Virtuelles (OPT1 WAN et LAN avec l'adressage = 192.168.0.5 (WAN) et 192.168.1.5 (LAN))
    La synchronisation entre les deux PF est OK.

    Jusqu'ici, mon PFSense Maitre et Slave sont bien définis et actifs.
    Cependant, sur mon PFSense Slave Ma Gateway OPT1WAN (192.168.0.5) est OFFLINE tandis que sur mon Maitre c'est ONLINE.

    Pour faire le test, je lance une demande 8.8.8.8 -t sur mon client avec les deux PFSense = OK ca ping
    Mais lorsque je débranche mon PFSense Maitre, la connexion est perdue et mon PFSense Slave ne prend pas le relais (c'est comme s'il servait à rien). Voici mon problème ! :(
    Je n'ai ajouté aucun package, aucune fonctions assigné au PFSense

    Recherches : J'ai essayé de me mettre en manuel dans la partie NAT et de rajouter des règles mais cela ne change rien, je l'ai donc remis en Automatique.
    J'ai vérifié mes adressages et mes passerelles, il me semble que cela est bon.
    J'ai changé le cable ethernet de ma carte réseau OPT1 sur mon PFSense Slave en pensant résoudre le problème mais non.
    J'ai donc réinstaller et reconfigurer mes deux PFsense mais c'est pareil.
    J'arrive à ping partout, sauf sur le PFSense Slave ou je n'arrive pas a pinger la passerelle 192.168.0.5 (Gateway de l'ip virtuelle OPT1 WAN)

    Questions : Je ne m'avance pas trop, je ne sais pas d’où viens le problème mais certainement de ma passerelle pour les cartes virtuelles ?

    Auriez-vous des pistes pour résoudre mon problème ? Je vous en serais très reconnaissant :)

    Je vous remercie
    PS: J'espère que je ne vous ai pas embrouillé si c'est le cas je peux vous joindre un screen de mes interfaces ! Mais Je n'arrive pas à en joindre un sur ce topic un screen ahahah :/



  • Avez vous fait un essai de basculement ?



  • @Joshbox:

    @ccnet:

    Avez vous fait un essai de basculement ?

    Je suis désolé, que voulais vous dire par basculement ?
    Est-ce passer le PFSense "Slave" =>  "Master" et inversement ? Si c'est votre question, j'ai essayé effectivement ! Mais sans succès, le problème est toujours là



  • Oui. Votre cluster ne fonctionne donc pas.

    Mes deux cartes OPT1 sont branchées sur un HUB pour que les PF puissent communiquer

    Vous pouvez connecter directement entre elles les deux interfaces Pfsync.
    Que disent les logs des deux Pfsense ?
    Vérifier que les interfaces pfsync communiquent correctement.

    Cependant, sur mon PFSense Slave Ma Gateway OPT1WAN (192.168.0.5) est OFFLINE tandis que sur mon Maitre c'est ONLINE.

    Comment cela est il configuré physiquement ?



  • Que disent les logs des deux Pfsense ?

    Jan 25 11:23:21 check_reload_status Syncing firewall
    Jan 25 11:23:22 php-fpm 84776 /system_hasync.php: waiting for pfsync…
    Jan 25 11:23:22 php-fpm 89972 /rc.filter_synchronize: Beginning XMLRPC sync to https://10.33.10.2:443.
    Jan 25 11:23:22 php-fpm 89972 /rc.filter_synchronize: XMLRPC sync successfully completed with https://10.33.10.2:443.
    Jan 25 11:23:25 php-fpm 89972 /rc.filter_synchronize: Filter sync successfully completed with https://10.33.10.2:443.
    Jan 25 11:23:44 php-fpm 2809 /system_hasync.php: pfsync done in 30 seconds.
    Jan 25 11:23:44 php-fpm 2809 /system_hasync.php: Configuring CARP settings finalize...
    Jan 25 11:23:52 php-fpm 84776 /system_hasync.php: pfsync done in 30 seconds.
    Jan 25 11:23:52 php-fpm 84776 /system_hasync.php: Configuring CARP settings finalize...

    Le synchronisation est donc OK.

    Cependant, sur mon PFSense Slave Ma Gateway OPT1WAN (192.168.0.5) est OFFLINE tandis que sur mon Maitre c'est ONLINE.
    Comment cela est il configuré physiquement ?

    Alors, mon problème semble être résolu, lors de la configuration de mon IP Virtuelle du WAN, l'interface était en "OPT1" et non en "WAN" !!
    Cependant une question subsiste, lorsque mon PFSense MASTER tombe et que le SLAVE prend le relais je ne perd pas la connexion (j'arrive donc encore a naviguer sur internet avec mon client => google ect…) MAIS lorsque je lance un ping 8.8.8.8 sur mon client je ne ping pas google ! Et lorsque je rebranche mon MASTER le ping google reviens, pourquoi je ne peux pas ping google sur le SLAVE?
    Pour information, la gateway entre les deux PFSense et toujours actif sur le master mais offline sur le Slave

    Merci de répondre aussi rapidement :)



  • Bonjour,

    • faire un traceroute depuis la machine cliente vers 8.8.8.8

    • le pfsense slave ping t-il sa gateway ?



  • Bonjour JoshBox,

    Quel type de switch utilise tu sur ton WAN ?
    Personellement j'ai rencontré énormément de problème sur la partie WAN à cause de PoE,

    Un test permettant de voir si le problème peux venir de la serait brancher le slave en direct sur la livebox, d'autre pars,
    vérifier que les 2 pf n'ont pas la même IP sur les interface WAN, et qu'elles sont bien configurer en /24 ( ou autre) et pas en /32,
    pour finir si tout cela ne donne rien, vérifie que l'interface WAN est bien attribué au bon port, j'ai vus des pfsense ne pas attribué les même nom au interface apres une installation sur le même materiel.

    Bon courage.


Log in to reply