FailOver/redundancia de PfSense



  • Estimados colegas, ante todo muchas gracias.

    Como muchos saben en empresas lo que seria gastos de sistemas a veces se pone complicado, tengo conocimiento en red y en varios equipos UTM de fortinet y Watchguard. Con estos ultimos solia hacer un cluster o failover o HA como quieran llamarlo, esto hace que muera un equipo fisico y el otro mantenga todo andando. En simple palabras redundancia.

    Estuve mirando que tenemos CARP en pfsense, pero no tengo la teoria de como funciona, alguien sabe darme datos especificos y si alguien tuvo experiencia en este campo ? mi necesidad es si o si crear un failover de la misma config para la empresa y que se mantenga Alive si muere uno de los pfsense.

    Ojala que puedan brindarme info.

    Atte.
    Maximiliano.


  • Rebel Alliance



  • @ptt said in FailOver/redundancia de PfSense:

    Revisaste ? https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)

    Además, tienes una Sección del Foro dedicada al tema: https://forum.netgate.com/category/32/ha-carp-vips

    y los videos de los Hangouts: https://www.netgate.com/videos/

    Muy buena data que me pasaste.. con el nuevo foro muchos links se rompieron creo... esto es Discourse no ?

    Bueno.. voy a ponerme a chequear. Nuevamente gracias por la data


  • Rebel Alliance

    Si, hay algunas cosas que todavía no funcionan (con el cambio de Foro), y que as van a "ir arreglando"

    En los Videos, tienes 2 referentes al tema "Alta Disponibilidad" (CARP), posiblemente sea la forma mas rápida de ver/determinar si se ajusta a tus necesidades.



  • @mcraymond Funciona al estilo de pacemaker.

    Utilizas la IP virtual, la cual es la que va en CARP. la ip virtual es la ip del servicio. (segmentos o patas del pfsense)

    Te recomiendo un punto a punto entre los pfsense para el monitoreo entre ellos.

    Creo que a nivel wan pierdes IP publicas (una por lado). Por lo que este escenario lo veo comodo es con un /27 a nivel wan.



  • @j-sejo1 said in FailOver/redundancia de PfSense:

    Creo que a nivel wan pierdes IP publicas (una por lado). Por lo que este escenario lo veo comodo es con un /27 a nivel wan.

    Por lo que lei con CARP deberia tener un servicio WAN fijo para que se escuchen ambos. La verdad que leo documentacion y me termino perdiendo. A parte un cluster de fortinet o watchguard lo unico que tengo que hacer es poner los servicios de internet en un switch de 8 bocas y que escuche que pasa mientras se mantiene un "equipo" arriba y hasta que no lo vea disponible al otro.

    Pero parece haber muchas maneras, no me estaria resultando, no facil, pero no me estaria resultando y cubriendo las necesidades. Deberia analizarlo bien,



  • Leyendo y leyendo, analizando y viendo el posible impacto, la verdad que no lo veo a nivel de la implementacion y necesidad, apto y no digo facil, pero, practico. Tome la desicion de verificar lo siguiente :

    0_1529071857876_eb2433c1-573f-40c8-8341-98d64a16e31a-image.png



  • No veo mal el diseño.



  • @j-sejo1 said in FailOver/redundancia de PfSense:

    No veo mal el diseño.

    no me funciono, y se claramente por que.. tengo 2 servicios de internet por DHCP y entre ellos generan conflictos... obviando esto ultimo, estoy equivodado si con un switch administrable generar un trunkal o vlan par encapsular supongamos.. 3 puertos ( serian 3 grupos de 3 puertos)

    PUERTO 1 2 3
    ingresa el servicio dhcp
    Ingresa 2 cables que irian al PFSENSE MASTER y otro ppara el PFSENSE BACKUP

    donde uno se apaga, se prende el otro y nunca tengo que hacer cambio de cables a mano.. sabrias informarme sobre esto ? o alguien que tenga conocimiento en switchs para fundamentar mejor esto ?



  • Es así como dices, ya agarraste la lógica.

    Este tipo de configuraciones no depende 100% de pfsense, también entra en juego la configuración de los equipos capa3 para lograr tal fin.

    Yo una vez para no darme mala vida e igual para los técnicos que iban a administrar el equipo, querían el pfsense en HA por si acaso el rack del principal fallaba bien sea por corriente eléctrica u otro items.

    Que hice? los 2 pfsense estaban punto a punto para efectos de la sincronizacion de la configuración, de esta forma lo que hacia en A se copiaba en B, eso si, los 2 hardware eran idénticos al 100%, etiquete los cables. y el procedimiento era el Básico:

    Si Pfsense A fallaba, el personal técnico tenia que ir al cuarto de datos simplemente a cambiar los cables (lan, wan y dmz) al pfsense B y listo. probamos 2 veces (contingencia simulada) y funciono. Hasta la fecha no se ha tenido una contingencia verdadera jejejeje, pero igual siempre realizamos fallas simuladas una vez al mes.

    Saludos.



  • @j-sejo1 said in FailOver/redundancia de PfSense:

    Si Pfsense A fallaba, el personal técnico tenia que ir al cuarto de datos simplemente a cambiar los cables (lan, wan y dmz) al pfsense B y listo. probamos 2 veces (contingencia simulada) y funciono. Hasta la fecha no se ha tenido una contingencia verdadera jejejeje, pero igual siempre realizamos fallas simuladas una vez al mes.

    gracias por la data. Me suponia que era de esa manera.