[Résolu] IP WAN pour solution CARP-cluster



  • Bonjour à tous,

    Actuellement mon firewall à une IP LAN (192.168.1.1) et une IP WAN publique (ex:209.85.229.105).

    Je suis entrain de configurer un firewall failover avec 2 pfsense en suivant le tuto :

    http://pfsense.bol2riz.com/tutorials/carp/carp-cluster-new.htm

    Par contre une petite question :

    Du coté LAN, chaque firewall doit possèder une IP LAN qui lui est propre et une IP virtuelle de type CARP qui servira de passerelle coté LAN.

    Mais que dois-je mettre du coté WAN? Ils faut bien une IP WAN propre à chaque firewall et une IP virtuel de type CARP (qui est mon actuelle IP WAN). Est ce que je peux utiliser n'importe quelle IP car cela n'interfèrera pas avec d'autre IP WAN … ??

    Je suis preneur de vos infos si vous avez déjà mis cela en place. Merci



  • J'ai eu un cas de figure tel que celui là. Il manque une info essentielle sur le schéma  : quel est le schéma physique pour le WAN !

    Actuellement (version 1.2.x), le CARP nécessite 3 adresses publiques pour 2 machines, Cela devrait changer en version 2.x si j'ai bien suivi.

    Actuellement, le principe de CARP est d'attribuer une adresse ip publique à chaque machine puis d'ajouter une adresse virtuelle (qui sera récupéré par la machine maitre).

    Donc avec une seule adresse ip, cela parait délicat !

    Dans le contexte, je suppose que le FAI a fournit un routeur et le schéma est :

    Internet <-> routeur <-> fw

    Les adressages (usuellement) sont alors un masque /30. Le routeur a alors l'adresse 205.85.229.106 et le firewall 205.85.229.105.

    J'ai triché de la façon suivante :

    Internet <-> routeur <-> switch <-> fw1 + fw2

    Le routeur reste forcément à 205.85.229.106 (/30).
    J'ai créé 2 firewalls avec les adresses suivantes : fw1 = 205.85.229.108/29 et fw2 = 205.85.229.109/29 avec 205.85.229.105 comme gateway.
    On peut alors créé l'adresse virtuelle 205.85.229.105/29. On ne mentionne pas le routeur mais c'est logiquement le bon.

    Et cela fonctionne !

    Bien sur, on ne communiquera pas avec les 4 adresses ip "supérieures" puisque le masque est passé de /30 à /29.
    Il faut espérer que ce n'est pas un fournisseur …

    C'est une bidouille mais pour moi cela a fonctionné ...

    A noter qu'il faut une interface "dédiée" pour la synchro CARP, qu'il faut penser au NAT (qui est forcément non standard), et à ajouter quelques règles avec les adresses ip choisies, ...
    Bref, je pense qu'il reste du travail ... Pour moi, j'ai eu ce cas pour un site à 800 km, je n'avais pas vraiment le droit de me tromper puisque je n'ai pas physiquement installé moi-même !



  • Salut jdh,

    Voilà ce quoi j'ai pensé faire, tu me dis ce que tu en pense. J'ai joué comme tu m'as dit sur les masques réseau.

    SI tout autre personne veut me faire part de ces remarques sur ces schémas, ils sont les bienvenus ! Merci

    J'ai fait un pti schéma du réseau WAN actuellement :

    Et mon schéma en devenir (enfin dans l'idéal) :



  • Je peux me tromper mais on ne peut pas faire de Carp avec un seule machine !

    Quelle est la signification de IPx PARP WAN ou IPx CARP WAN ?
    Pourquoi s'embrouiller avec ces éléments inutiles ?
    Je ne vois aucune validation des hypothèses que je prends ! (notamment sur les masques)

    Moi j'ai réalisé cela avec 3 adresses ip (2 hors de la range d'origine + 1 virtuelle à la bonne valeur).
    Je n'ai jamais ajouté autre chose : je me serais embrouillé et pour rien en plus !
    Il n'y a aucun besoin de plus de 3 adresses.



  • C'est bon j'ai réalisé ce que je voulais.
    J'ai joué sur les masques comme jdh me préconisais. Mes IP WAN des deux pfsense ne sont pas visible de l'internet mais mes IP publiques en CARP le sont même si le masque est en /28.

    Merci bien !!


Log in to reply