Site redondant
-
Bonjour à tous !
Voilà, j'ai un joli projet à mener et j'aimerais votre avis sur la faisabilité de celui ci avec PfSense…
Ci joint un petit schéma de ce qu'il faut mettre en place.
- Le site de backup doit prendre la relève en cas de panne du site Principal (les serveurs seront donc synchronisés en permanence entre les deux sites).
- Le basculement doit se faire de manière "invisible" au niveau des "clients" VPN.
- Chaque client doit avoir un réseau cloisonné et ne doit donc pas voir les autres. (chaque client possède son serveur dans la DMZ)
Il y a donc 3 problémes :
- Comment cloisonner efficacement les réseaux ? (adressage, VLAN ...)
- Comment synchroniser les deux PfSense ? (CARP, ... )
- Comment mettre en place le basculement vers le site de backup en cas de problème ?
Pour le 1er, j'aimerais connaitre votre avis.
Pour le 2nd, je pense utiliser CARP avec le tuto ici http://mirror.qubenet.net/mirror/pfsense/tutorials/carp/carp-cluster-new.htm
Cependant, n'ayant pas exactement la même architecture (deux sites différents) je me demande si c'est possible ?
Pour le 3eme, d'après ce post :http://forum.pfsense.org/index.php/topic,10943.0.html, il n'est pas possible de faire de l'IPSec failover donc je ne vois aucune solutions pour l'instant… :(Merci pour votre aide !
Simon
-
Le réellement invisible ne sera effectivement pas possible. Cependant, les tunels IPSEC seront a destination de l'interface CARP du WAN. Dès lors la perte du firewall 1 (solidaire du site 1) entrainera une renégociation des associations de sécurité avec firewall2. C'est assez rapide et génère la perte de quelques paquets. tout ce qui n'est pas IPSEC sera basculé de façon transparente grâce à pfsync.
J'ai plusieurs configurations similaires avec des datacenter interconnectés en niveau 2.
Le principal est de définir de bon timeouts pour la phase 1 et 2. -
Merci beaucoup pour cette réponse rapide :)
Je ne comprend pas bien lorsque vous dites que les tunnels IPSec seront à destination de l'interface CARP du WAN…
J'explique ma vision de la chose :
PFSense1 configuré avec 3 interfaces : LAN, WAN (sur lequel seront les tunnels IPSec) et OPT qui servira à la synchro des serveurs et des deux pfsenses.Est-ce que cette configuration n'est pas correcte ?
Merci.
Simon
-
pour réaliser le cluster CARP il faut que les deux sites soit interconnecté au niveau 2 (comme si ils étaient sur le même switch).
Ensuite il y aura une ip virtuelle (de type CARP) portée par le master en situation normale. LEs tunnels IPSEC distant auront donc comme peer cette IP CARP. -
D'ac ! :)
Au niveau de mes deux sites, dois-je avoir strictement le même adressage au niveau du LAN ?
Merci !
Simon
-
et bien oui car votre cluster de firewall va avoir également une interface virtuelle CARP dans votre LAN (gateway par defaut de vos serveur), il faudra que chaque site soit dans le meme reseau si vous voulez que le cluster fonctionne. Tout ceci fonctionne, je le répète, si vous possédez un réseau commuté au niveau2 entre les deux sites. Sinon il faudra revoir l'archi (mais cela reste faisable avec pfsense et des routeurs d'extermité peu couteux).
-
Ensuite il y aura une ip virtuelle (de type CARP) portée par le master en situation normale. LEs tunnels IPSEC distant auront donc comme peer cette IP CARP.
L'IP CARP dont vous parlez doit être publique ?
Quand vous dites "comme peer cette IP CARP" , peer = remote gw (du point de vue des clients) ?Désolé pour toutes ces questions et encore merci :)
Simon
-
Si on parle de connexion IPSEC a travers Internet alors oui vous aurez au moins une IP CARP publique (soit sur le WAN, soit sur une carte DMZ soit les deux). Les tunnels seront effectivement montés en direction de cette IP CARP.
Si vous ne possédez pas de liaison niveau 2 entre les deux sites alors vous pourriez utiliser autre chose que des pfsense (ou en combinaison avec des pfsense) chez vos clients. Par exemple il existe de petit routeurs/firewall/ipsec chez Linksys qui possède de base la fonction failover IPSEC (en fait vous configurez deux tunnels IPSEC dont un de secours) pour des prix aux alentours de 250€HT.