PfSense in HA Wan multipla, LAN multipla e IP pubblici
-
sinceramente non ci ho capito granchè e credo che neanche lui lo sappia di preciso o non ha capito la domanda
a guardare lo schema li sopra sull'immagine sono specificati indirizzi ip con subnet diverse su due nic diverse alla fine. ma poi se si utilizzano ip pubblici presumo che anche l'isp debba supportare/permettere il protocollo carp in qualche modo
vediamo se ci risponde ancora altrimenti chiedo direttamente nella sezione inglese -
Grazie.
Intanto, per le necessarie prove devo ancora recuperare due schede di rete che mi mancano; nelle peggiori delle ipotesi provo ad inventare un paio di proxy/reverse proxy con Nginx da mettere tra Modem e PfSense, ma la vedo lunga, sempre che si possa fare. -
mi hanno risposto sull'altra discussione in inglese
https://forum.netgate.com/topic/157770/pfsense-high-availability-exapand-existing-firewall-with-multi-wan-and-multi-ip/3?_=1603298501202
in pratica da quello che ho capito usi i tre ip per il carp (wan1 wan2 e shared carp), il nat verso il carp è solo per i servizi direttamente configurati sul pfsense o subito dopo ma per il resto continui ad usare ip alias e a nattare su quelli
-
Dopo una pausa, dovuta ad altre attività, riprendo le prove su un ambiente virtuale.
Un pezzo alla volta, magari riuscirò a mettere in piedi questo sistema. -
Ciao @Milord,
La gestione è simile ad un singolo firewall.
L'unica vera differenza è che di base ti servono 3 ip per ogni subnet: Uno per ogni firewall ed uno virtuale di tipo carp che diventa l'IP con cui le altre macchine dialogano con il cluster.
Gli ip assegnati fisicamente al firewall servono solo per gestione, in outbound sengestiti male precludono l'aggiornamento di firmware e packages della macchina slave.
Tutti gli ip aggiuntivi continui a registrarli come ip virtuali di tipo Alias
Fai attenzione che ora avendo un ip virtuale di tipo carp che identifica il tuo cluster, in tutte le regole di Nat inbound ed outbound Devi far riferimento a quello e non all'interfaccia.
Il Nat outbound è da impostare necessariamente in manualCiao Fabio
-
@fabio-vigano
Grazie per il "chiaro charimento".
Era quello che temevo, in questo modo credo, se ho capito bene, che dovrò ridefinire alcuni record DNS pubblici e spostare gli accessi ad alcuni servizi su altri IP delle subnet. Nella gestione dell'outbound, al momento impostato "ibrido" ho solo il server di posta, ma quello non mi preoccupa. -
@Milord
Di solito in caso di migrazione da fw singolo a cluster noi manteniamo il vecchio IP asssegnato ad ogni subnet come IP CARP ed assegnamo alle interfacce fisiche IP nuovi.
E' un lavoro lungo e meticoloso da fare in ambiente non di produzione e quando hai finito ti porti la config in produzione senza troppi problemi. In alcuni casi effettuiamo le modifiche direttamente sul file di config XML e quando siamo pronti facciamo un restore della config in produzione.
Di queste migrazioni ne ho fatte parecchie, sono onerose in termini di tempo se hai configurazioni complesse.Ciao
-
@fabio-vigano
Ricapitolando con un esempio.
Subnet con indirizzi da 1 a 16
L'indirizzo 1 definito come CARP
L'indirizzo 2 fisso sul primo firewall svincolato da record DNS pubblici
L'indirizzo 3 fisso sul secondo firewall svincolato da record DNS pubblici
Gli indirizzi da 4 a 16 definiti come alias entrambi i firewall.
Corretto? -
Esatto
-
@fabio-vigano
Grazie. Non mi resta altro da fare che augurarmi buon lavoro. :-)
