Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfSense HA - CARP avec WAN en DHCP

    Scheduled Pinned Locked Moved
    Français
    2
    5
    611
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      PascalB41
      last edited by

      Bonjour,

      Je n'ai volontairement pas utilisé le modèle de documentation cette fois car je pense (peut-être à tort) que cela n'est pas nécessaire vu ma question. Mais s'il faut quand même en passer par là, dites-le moi et je le ferai.

      J'ai un pfSense (CE) qui sert de firewall dans une PME et dont dépendent maintenant pas mal de services (serveur VPN OpenVPN pour les roadwarriors, tunnel IPSec avec une filiale, TOIP vers le PABX, distribution de accès Internet sortant sur 2 accès WAN, redirection du trafic SMTP sur un pool de 2 serveurs de messagerie, redirection du trafic FTP vers un serveur FTP interne,...).

      Tout ça fonctionne très bien depuis des mois mais il devient nécessaire de prévoir un backup car s'il tombe, toute la communication de l'entreprise s'arrête.

      Je me suis plongé dans la doc pfSense au chapitre de la HA et j'ai compris le principe avec les 3 piliers que sont les CARP, le pfsync, et XML-RPC.

      Ma question porte sur le CARP que je dois monter du côté WAN. J'ai 2 pattes WAN sur mon pfSense dont les utilisations sont réparties entre les différents services cités plus haut.

      WAN1 est paramétrée avec une IP fixe, un masque en /29 et est connectée à une Livebox Pro d'OBS. Concernant cette interface je n'ai pas d'interrogation pour monter le CARP1.

      Par contre WAN2 est paramétrée en DHCP et est reliée à une Freebox en mode Bridge. Dans ce mode, le premier composant qui est branché sur une des interfaces Ethernet de la Freebox se voit attribuer l'IP publique de la connexion 82.64.xxx.xxx avec un masque en /24.

      Je voudrais savoir si ce type de connexion WAN permet la création d'un CARP comme cela est décrit dans la documentation pfSense.

      Pascal.

      J 1 Reply Last reply Reply Quote 0
      • J
        jdh @PascalB41
        last edited by jdh

        @pascalb41

        Le souhait de faire du bridge est souvent/toujours erroné : pour faire du fail-over, c'est impossible. Puisque le principe de base d'avoir 'fw1 - ip1' + 'fw2 - ip2' + ip virtuelle que s'attribue le Master ...

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        P 1 Reply Last reply Reply Quote 0
        • P
          PascalB41 @jdh
          last edited by

          @jdh merci d'avoir répondu.

          Je pensais pouvoir définir l'IP virtuelle du CARP de la patte WAN2 en prenant l'adresse attribuée par la Freebox (c'est toujours la même = notre IP publique).

          Pascal.

          J 1 Reply Last reply Reply Quote 0
          • J
            jdh @PascalB41
            last edited by jdh

            @pascalb41

            L'utilisation du formulaire est TOUJOURS utile : par exemple un schéma ...

            Pour WAN1, vous avez un routeur (OBS) et une plage /29 fournie soit 5 adresses ip publiques disponibles.
            (/29 = 8 adresses - le network - le broadcast - le routeur = 5 adresses ip dispo).
            Installer 2 firewall et mettre en oeuvre le Fail-Over (High Availability) a un coût : chaque firewall a une ip publique et une ip virtuelle se 'balade' entre le Master et le Slave ... J'ignore si on peut passer à 3 ip virtuelles entre Master et Slave !?

            Pour WAN2, passer de bridge à routeur et plus aucune difficulté. (Certes il y a un NAT en sus, mais où est le problème ...)

            Il y a aussi la méthode 'manuelle' : un hardware identique plus une copie de la conf.
            On peut commencer par une sauvegarde quotidienne du fichier de conf ... (on devrait toujours commencer par ça !)

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            P 1 Reply Last reply Reply Quote 0
            • P
              PascalB41 @jdh
              last edited by

              @jdh merci de votre réponse.

              Ma question étant assez précise et uniquement coté WAN je m'étais dispensé du formulaire et pour le schéma j'avais commencé sous Visio et je me suis arraché les cheveux tellement ce logiciel est pénible alors j'ai abandonné mais j'avoue que ça aurait été mieux.
              Je peux décrire par contre. J'aurais donc 2 pfSense avec chacun 2 interfaces WAN1 et WAN2.
              Ces interfaces étant reliées chacunes à 1 switch. Le switch 1 desservant le routeur OBS, le switch 2 desservant la Freebox. Je peux même utiliser 1 switch unique avec 2 VLAN de 3 ports chacun.

              J'ai effectivement les 5 adresses de libres, actuellement l'unique pfSense en utilise 1 donc j'en ai 4 de libres ce qui est suffisant pour monter le CARP qui demande 2 IP + 1 VIP.

              Pour WAN2 je vais étudier la question mais de prime abord ça me semblait plus simple, c'est comme ça que ça fonctionne (bien) actuellement. Je pense pouvoir créer une DMZ sur la Freebox et rediriger l'intégralité du trafic sur la VIP que je vais créer dans l'espace de cette DMZ.

              La méthode 'manuelle' impose d'intervenir physiquement si je comprends bien pour brancher et/ou démarrer le spare et restaurer la sauvegarde sur celui-ci. La solution de la HA est automatique si j'ai bien compris le principe...

              Pascal.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post