Perdida de reglas cuando el fw backup asume el papel de master



  • Hola

    Tengo una pareja de firewall en HA: nodo A (primario) y nodo B (secundario).
    En ocasiones, por caídas completas del nodo primario, el secundario (B) ha tomado el papel de primario. Esta situación se ha prolongado en ciertas ocasiones durante varias horas e incluso días.
    Y en alguna de estas ocasiones he necesitado cambiar reglas en el nodo B desempeñando el papel de master. Cuando he podido recuperar el nodo A como primario, éste no recoge las nuevas reglas aplicadas sobre el nodo B.
    Posiblemente estoy obviando alguna opción de configuración. ¿Puede alguien indicarme que puedo estar haciendo mal, o que problema puedo tener?

    Gracias.



  • Tienes configurado el HA en ambos firewalls? Yo por ejemplo solo configuro en mi nodoA(primario) para que todos los cambios que haga en ese nodo, se sincronicen a mi nodo B, pero no viceversa.



  • Hola
    ¿Cómo se configura ese modo?
    Yo seguí estas instrucciones: https://docs.netgate.com/pfsense/en/latest/highavailability/configuring-high-availability.html
    Entiendo que parte de la configuración solo se introduce en el primario, pero la sincronización es bidireccional.
    captura.PNG

    ¿Es así como tu lo tienes configurado?



  • Si, asi es como lo tengo configurado. Pero tenia entendido que era unidireccional, No estoy seguro de que sea bidireccional o no, tendria que investigar un poco mas pero la verdad no habia puesto atencion en eso porque todo lo hacemos en nuestro nodo primario, practicamente nuestro nodo secundario es de respaldo como max 1 dia y siempre habia tenido esa idea.

    De igual forma lo que puedes hacer, es que cuando tu nodoA (primario) se caiga, configures el HA de la misma forma tu nodoB pero ahora apuntando a la ip de la interfaz CARP de tu nodoA para que tu nodoB sincronice todo a tu nodoA cuando este se levante nuevamente, pero no se que tan recomendable sea esto...

    Revisa y prueba la casilla pfsync, quizas sea lo que necesitas



  • Gracias. Si puede ser una opción. Y probablemente tengas razón, que pfsense funcione así, unidireccionalmente. He buscado algo de información sobre esto y no he encontrado nada. Puede ser que no admita el modo bidireccional.

    Voy a seguir indagando si existe algún método más automático, que no requiera modificar quien es el primario/secundario. Si encuentro algo, que lo dudo, lo pongo aquí.

    Muchas gracias.


Log in to reply