Pfsense FailOver Activo/Pasivo (Pero sin VHID) cambio manual.
-
Buenas.
Tengo un servidor Pfsense, con 4 tarjetas de Red, pero solo utilizo 3 (wan, dmz (sobre vlan) y lan). Todo funciona sin problemas.
Me consiguieron un servidor Idéntico de la misma marca, modelo y características de hardware (ram, cpu, disco, red).
Quiero activar un FailOver (Activo/Pasivo), Pero por política, la directiva quiere que el failover sea manual, es decir, que los equipos se sincronicen en cuanto las modificaciones que se vayan realizando, pero que cuando el principal caiga o falle. Alguien "Un Técnico" De forma manual, simplemente cambie los cables de red (wan, dmz y lan) al servidor Pasivo (esto por políticas internas)
He leido de CARP, pero se que mantiene los 2 servidores en linea, con las tarjetas de red, solo que ponen en juego la IP de servicio que seria la IPVIrtual (tengo experiencia de Heartbeat y Pacemaker, asi que ya se por donde van los tiros).
Pero lo que deseo es utilizar el puerto de red disponible de ambos servidores para un punto a punto entre los Pfsense (para la replica) y cuando un servidor falle, el switch sea de forma manual, es decir pasar los cables (wan, dmz y lan) al otro servidor.
Atento a sus observaciones.
Gracias.
-
Haga una copia de seguridad del primer servidor, cargela en el segundo servidor, y esto cada que haga un cambio (ya que todo va a ser manual), y el segundo servidor lo puede tener encendido o apagado da igual, ya que va a ser manual, si llegara a caer el principal, cambia los cables y listo.
Porque lo demás creo que esta diseñado para hacerse de forma automatica.
-
Hola Zac, si bueno, a la final eso fue lo que hice.
La prueba fue 100% funcional y transparente para el administrador. Pero también se debió a que los equipos son 100% idénticos.
Aquí el procedimiento de una forma directa.
-
Del servidor Pfsense A (Producción) guardar en un Pendrive el archivo config.xml que se encuentra en /cf/conf/
-
Instalar en el Servidor Pfsense B (backup) la versión de Pfsense idéntica del Servidor A.
-
Luego de finalizar la instalación, no configurar nada, simplemente colocarse en la shell o consola del pfsense.
-
Montar el pendrive: mount_msdos /dev/da0s1 /mnt
En este punto, puede que en el servidor no sea da0, para validar como pfsense ve el dispotiviso, podemos ejecutuar: camcontrol devlist
-
Entrar en /cf/conf/ del servidor B y borrar el archivo config.xml.
-
Copiar el arhcivo config.xml del pendrive y copiarlo en /cf/conf/ del servidor B
-
Entrar en la carpeta /tmp del servidor B y borrar el archivo (en caso de existir) config.cache
Ocho) Quitar los cables de red que están en el Pfsense A y colocarlos en los mismos puertos idénticos en Pfsense B. (Nota*1).
-
Ejecutamos el siguiente comando: /etc/rc.reload_all start
-
Al volver al caer a la shell, reiniciamos, quitamos el pendrive y ya debemos ingresar al Pfsense como siempre lo han hecho.
-
Al hacer Login, tendrás todas las reglas de firewall funcionando, lo que no estará funcionando son los programas adicionales (ej: squid, snort, etc), simplemente debe volver a instalar los programa adicionales que llegaron a instalar en el Pfsense A. no hace falta reconfigurar.
Y Listo. Tiempo estimado: 10 minutos.
Nota*1: Si el equipo es Diferente, es decir que el equipo B es diferente al A en cuanto a Hardware, pero cuenta con las tarjetas de red disponible, tienen 2 opciones:
A) Hacer el mismo procedimiento, pero luego deben levantar la interfaz con la ip que usan para administración y hacer los ajustes en las interfaces de red ya que al ser equipos diferentes, la red puede cambiar de re0 a bge0 por ejemplo.
B) Hacer el proceso normal de instalación. Setear la IP lan para entrar al pfsense. Y luego hacer desde el portal Web el Restore de la configuración y hacer el procedimiento de ajuste de tarjetas de red. (Método Clásico)
Saludos.
No Descarto CARP (VHID). Pero tengo que evaluar muchas cosas, sobretodo el tema wan y router. ya que le leído por allí varias observaciones.
-