Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Tuto cluster

    Scheduled Pinned Locked Moved
    Français
    1
    1
    4.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • TataveT
      Tatave
      last edited by

      Salut salut
      Suite à quelques topic sur le sujet j'ai refais un how to rapide, traitant juste de la partie principal du cluster pf, il n'est pas traité l'installation de base et de l'ajout de composant logiciel ou matériel.

      hummm du cluster ca tombe bien, j'en ai monté plus d'un.

      - 1 -  Synchro et  ipv ainsi que les nat/rules
      Après avoir réaliser le paramétrage la carte réseau qui va être dévolue pour la carte de synchronisation entre les deux Pfsense.
      Nous allons paramétrer des points importants pour la mise en synchronisation
      Via le menu « FireWall » puis « Virtual IP » sur l'onglet « High Availability Sync » pour l'initialisation des règles de synchronisation
      Via le menu « FireWall » puis « Virtual IP » sur l'onglet « Virtual IPs » pour l'initialisation des Ip Virtuelles s'appuyant sur le mécanisme Carp que connaisse bien les BSD-istes.

      la gestion de la synchro

      Sur le maitre

      Dans cette interface cochez « Synchronize States » pour activer la fonction.
          « Synchronize Interface » choisir l'interface qui va servir à la synchronisation pour ma part c'est « Synch ».
          « pfsync Synchronize Peer IP » saisissez dans le cadre l'adresse ip de la machine esclave pour moi c'est 192.168.5.12.
          « Synchronize Config to IP » saississez dans le cadre l'adresse ip de la machine esclave pour moi c'est encore 192.168.5.12.
          « Remote System Username » dans la cadre saisissez compte utilisateur pour la synchronisation pour moi c'est « administrateur » Nota, il serait bien de créer un comte avec les mêmes droits pour un usage en production car il faut tromper l'ennemie en cas d'attaque de sur cette utilisateur.
          « Remote System Password » saisissez le mot de passe de l'utilisateur de synchronisation.
          Ensuite nous avons une série de case à cocher, prenez le temps de lire les informations qui s'y rapportent suivant vos besoin vous aurez à ne pas les activer.
          Save et nous passons sur l'esclave.

      Sur l'esclave

      Dans cette interface cochez « Synchronize States » pour activer la fonction.
          « Synchronize Interface » choisir l'interface qui va servir à la synchronisation pour ma part c'est « Synch ».
          « pfsync Synchronize Peer IP » saisissez dans le cadre l'adresse ip de la machine maitre pour moi c'est 192.168.5.11.
          « Synchronize Config to IP » saississez dans le cadre l'adresse ip de la machine maitre pour moi c'est encore 192.168.5.11.
          « Remote System Username » nous laissons vide.
          « Remote System Password » nous laissons vide.
          Ensuite nous avons une série de case à cocher, prenez le temps de lire les informations qui s'y rapportent suivant vos besoin vous aurez à ne pas les activer.
          Save la synchronisation est prête.

      Par sécurité je redémarre les machines le maitre en premier et ensuite la machine esclave. Dés lors la synchronisation est opérationnelle.

      La gestion des IVP

      Nous allons mettre en place des ip virtuelle pour chaque interface sauf pour l'interface de synchronisation.

      Sur le maitre :

      L'IP virtuelle est une Ip qui est partagée entre deux périphériques ou deux machines pour notre usage c'est entre un maitre et un esclave.
      Ce mécanisme est là pour faire croire au autre machines qu'il y a une machine supplémentaire sur le réseau, c'est cette Ip virtuelle que nous allons propager pour utiliser les services que va offrir Pfsense dans les différents segments que le cluster va avoir à gérer.
      Par convention sur mon cluster j'ai pris la base de mes ip virtuelles se finissant par X.X.Y.10/24 avec Y correspondant à la base de l'ip de nous interface les adresse seront les suivant : « Wan1 » 192.168.1.10 / 24, « Wan2 » 192.168.6.10 / 24,  « Lan » 192.168.4.10 / 24, « Wifi » 192.168.3.10 / 24, « DMZ » 192.168.2.10 / 24.
      Quand l'on arrive sur l'interface « Virtual IP » cliquer sur le « + » pour ajouter une ip virtuel sur la machine, je le rappelle il faudra répéter l'opération autant de fois que d'interface que nous avons moins une.

      Cliquez sur le bouton Carp pour tous les mises en œuvre d'une IP virtuelle ,

      L'interface (2) single address (3) mot de passe (4) Vhid(5) Advertiming frequency(6) description
      Wan1 192.168.1.10 / 24 mot de passe Wan1 1 1 / 0 Carp_Wan1
      Wan2 192.168.6.10 / 24 mot de passe Wan2 2 1 / 0 Carp_Wan2
      Lan 192.168.4.10 / 24 mot de passe Lan 3 1 / 0 Carp_Lan
      Wifi 192.168.3.10 / 24 mot de passe Wifi 4 1 / 0 Carp_Wifi
      Dmz 192.168.2.10 / 24 mot de passe DMZ 4 1 / 0 Carp_DMZ

      Sur le maitre vous constaterez qu' il y advertiming a 1/0 et sur l'esclave 1/100.

      Sur l'esclave :

      Sur l'esclave rien à faire sauf faire une vérification dans le menu « Status » puis « Carp (failover) » si la synchronisation est bonne vous verrez après voir fini le montage sur le maitre les ipv apparaitront en grisées car les IPv sont activent sur le maitre.
      Dans le cas probable ou vous ayez une ou plusieurs en vert donc actives sur l'esclave et toutes sur le maitre, je vous conseille de redémarrer le maitre ne premier puis l'esclave par cette méthode vous forcer la synchronisation maitre/esclave, à ne faire qu'après avoir regarder si le câblage est bien en place et qu'il n'y est pas de coupure réseau surtout entre les deux machine (le câble croisé).

      Les Règles et Nat a faire
      A ne faire que sur le serveur maitre, si tout est bien fait en amont vous n'aurez rien à faire.

      Tout ceci ne sera finalisé qu'au moment ou dans l'interface « Firewall: NAT: Outbound » vous serez passe d'automatique à manual
      Et conservé que les règles comme suit
              WAN1 / 192.168.4.0/24 - * - * - * - 192.168.1.10 - * NO - Auto created rule for LAN to WAN1
              WAN2 / 192.168.4.0/24 - * - * - * - 192.168.6.10 - * NO - Auto created rule for LAN to WAN2
              WAN1 / 192.168.3.0/24 - * - * - * - 192.168.1.10 - * NO - Auto created rule for Wifi to WAN1
              WAN2 / 192.168.3.0/24 - * - * - * - 192.168.1.10 - * NO - Auto created rule for Wifi to WAN2
              WAN1 / 192.168.2.0/24 - * - * - * - 192.168.1.10 - * NO - Auto created rule for DMZ to WAN1
              WAN2 / 192.168.2.0/24 - * - * - * - 192.168.6.10 - * NO - Auto created rule for DMZ to WAN2
      ET retirez le reste qui n'a pas d'utilité.

      Bon le cluster peu basculer les services
      Pf peut fournir plusieurs services en basculement comme :

      • dhcp
      • proxy (je préconise que ce services soit sur une autre machine que sur le cluster pf, mais cela ai faisable sous certaine condition)
      • dns forwarder
      • …

      - 2 - La mise ne place du dhcp

      Faisons simple nous n'avons pas énormément de machine mais quand même réfléchissons un peu, pour des raisons de commodité arbitraire prenons deux plages d'adresses, une par segment ;

      début de la plage de X.X.X.50
          fin de la plage à X.X.X.250

      Cela nous fera un peu plus de 200 ip disponible et le cas échéant nous pourrons toujours modifier cette amplitude en sachant que nous avec dur un réseau en X.X.X.0/24 un nombre de 254 ip disponible moins les ip des machines en static donc notre router fait partie sur ce segment, il faut prendre en compte ces paramètres là sans quoi, vous aurez quelques soucis de vol d'adresse IP par la suite.

      Simple oui mais avec une différence notable c'est que nous n'avons pas un serveur DHCP mais deux et il faut qu'ils se parlent. Des paramétrages sont à réaliser en double

      Nous allons activer pour trois de cartes le DHCP , pour LAN, WIFI, DMZ. pour les deux premiers il est facile de comprendre, pour la DMZ cela vient du fait que réaliser certain opération il est plus facile de passer par ce services pour obtenir une ip temporaire, par exemple de l'installation d'un machine, ou de vérifier si le site x ou y est bien actif en dmz pas une machine juste brancher sur le switch, ou même pour intervenir sur les actifs sur ce segment qui ne sont pas manageable depuis les autres réseau.
      Les plages d'adresse va respecter le schéma pré cité de 200 adresses à pourvoir sur chaque réseau, dans notre cas.
      Dans le menu « Services » puis « DHCP server » avec les éléments du tableau si dessous.

      Lan           Wifi           DMZ
      OUI           OUI           OUI –------------------------ activation du services
      192.168.4.050 / 192.168.3.050 / 192.168.2.050 --------------- Range début
      192.168.4.250 / 192.168.3.250 / 192.168.2.250 --------------- Range fin
      192.168.4.010 / 192.168.3.010 / 192.168.2.010 --------------- DNS 1
      192.168.4.010 / 192.168.3.010 / 192.168.2.010 --------------- Gateway
      192.168.4.012 / 192.168.3.012 / 192.168.2.012 --------------- Peer coté serveur maitre
      192.168.4.011 / 192.168.3.011 / 192.168.2.011 --------------- Peer coté serveur esclave

      Vous constaterez que les modification sur le serveur maitre impactent directement le serveur esclave, les information sur les paramètres esclave sont les informations qu'il faudra avoir.

      Techniquement après un redémarrage des deux machines, l'une après l'autre vous devriez avoirs vos serveur DHCP afficher sur l'interface « DHCP lease » dans « Status » un « Normal » sur tout les service dhcp de vos cartes réseaux.
              Failover Group        My State Since peer                        State Since
              dhcp_lan (LAN)  normal  2014/06/26 19:05:37  normal  2014/06/18 16:50:48
              dhcp_opt1 (DMZ)  normal  2014/06/26 19:05:37  normal  2014/06/18 16:50:48
              dhcp_opt3 (WIFI)  normal  2014/06/26 19:05:37  normal  2014/06/18 16:50:48

      A partir de là vous avez un cluster opérationnel pour un usage où les trois réseau vont sur le web via le Wan1.

      Rajouter les paramétres sur le maitre et l'esclave se synchronisera

      !!!!! ATTENTION TOUT DE MEME !!!!!!!!

      Les addon sont a mettre sur les deux machines maitres et esclave, il n'y a pas de synchronisation sur les chose la, seul les paramètre le sont eux synchronisés

      Cordialement.
      un tatave bien luné.

      aider, bien sûre que oui
      assister, évidement non !!!

      donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
      apprendre à un homme comment cuisiner, il sera vivre.

      1 Reply Last reply Reply Quote 0
      • First post
        Last post