CARP avec pfsync avec en plus deux wan et un lan est ce possible ??



  • Est il possible de configurer deux pfsense en CARP relier sur deux wan et un lan ??
    Sachantr que pour le moment pfsense maitre est configurer pour faire du loadbalancing et du failover avec deux acces internet
    Petit schema vite fais pour montré ce que je demande

    Uploaded with ImageShack.us
    http://imageshack.us/photo/my-images/20/sanstitrezpo.png/



  • salut , salut

    Si je puis me permettre, y a quelques petites choses que je en comprends ;

    • vous voulez faire du FO ou du BL entre vos deux accès internet
    • vous voulez faire les deux en même temps  ?

    Partie d'une reponse si vous voulez faire du FO avec vos deux accès

    • oui faisable, j'en ai déjà réalisé via des tuto du site pfsense et ou site s'y référençant, sinon le livre même vieillissant et en anglais (dur pour les non anglophone). pour le LB cela doit etre la meme en cherchant un peu.

    Mon seul soucis et gros déboire fut qu'un jour la foudre est tombée sur le bâtiment hébergeant un noeux FT pour ou passait mes deux fai différents du coup le FO pas top dans cas, ou avoir un point accès (x)dsl X et un en fibre.

    Autre question en passant en regardant le schéma, pourquoi ne pas doubler le pfsense et les actifs réseaux derrière, si vous avez le soucis de continuité de services ? ce reste une question ouverte n'y voyez pas là une critique ou un reproche.

    coté avocat du diable, et la recherche sur le sujet à donné quoi ? (ps == ccnet/jdh === pas taper je ne fais que passer :p )



  • Merci Tatave pour ta réponse

    Pour te repondre a ta premiere interrogation :

    En fait a ce jour le service n'a qu'un seul acces internet et qu'un seul firewall
    Il est clair que le jour ou il y a une coupure internet ou le plantage du firewall il n'y a plus d'accés au service!
    Le but est donc de pouvoir avoir une continuité de service avec donc deux connexion internet afin d'avoir si possible une répartition de la charge entre le deux et en cas de coupure d'une des connexions le basculement sur la deuxieme.
    A ce jour le basculement fonctionne on a tester en debranchant le cable ethernet de la liaison wan et c'est opt1 qui prend le relais et inversement avec opt1 debrancher wan prend le relais.

    Pour eclaircir ma recherche, nous cherchons a doubler les pfsenses afin d'avoir une redondance si l'un tombe l'autre peu prendre le relais
    ma question etais de savoir comment je pourrais bien relier mes accès wan et opt1 pour que les deux soit opérationnel sans poser de probleme de connexion ni de configuration.
    D'ou mon schema , sachant que c'est qu'une interrogation et pas définitif je pensais meme mettre un switch a la place de routeur sur les connexion internet.
    DOnc pour faire simple je dois voir comment brancher deux pfsense que je pourrais synchroniser pour que lorsque je met une regel ou un parametrage que les deux soit configuré de la meme maniere, ensuite pouvoir mettre un basculement entre les deux pfsense au cas ou un des deux planterai que le deuxieme prenne le relais.
    Ce que l'on veux avec tout cela c'est un continuité d'acces internet avec deux accès différents et une redondance avec basculement matérielle entre les deux pfsenses afin d'avoir toujours un pfsense en fonctionnement.
    Voila je pense avoir tout dis
    N'hesite pas a me dire si je ne suis pas assez clair

    Pour repondre a ta derniere question la recherche m'a permis de voir comment utilisé pfsync mais je n'ai trouver personne qui a configurer pfsense de la sorte j'ai eu de la redondance de deux pfsense sur une seul connexion internet moi je veux la meme chose mais avec deux internet d'ou mon schéma



  • En fait il n'y a rien de compliqué, il s'agit simplement d'un cluster à deux noeuds avec deux connexions Internet (ou plus).
    Donc il suffit d'installer deux pfsense, de configurer la réplication du maître vers l'esclave:

    • synchronisation des règles via XMl-RPC sur la carte LAN
    • synchronisation des états de session via pfsync, sur une carte ou VLAN dédié

    Ensuite il suffira de créer une adresse de cluster par interface (CaRp)
    Enfin, il faudra tout simplement créer les groupes de gateway afin de remplir les fonctions que vous désirez : failover, loadbalancing etc.



  • Merci pour ta réponse il faudra que je me penche sur tous cela !!!


Log in to reply