Failover sur une IP avec 2 pfsense
-
bonjour à tous
Contexte : milieu perso, nouvelle installation
Besoin : je voudrais faire de la haute dispo entre 2 pfsense mais je n'ai qu'une IP publique
Schéma :
WAN (modem/routeur/box) : ip WAN freebox mode bridge dhcp donc 78.192….
LAN : un switch manageable decouper en differents VLAN mais qui utilisent tous la meme IP publique de sortie
DMZ : adressage, dns local, ...WIFI : adressage, dhcp fourni ou non, dns local, usage (interne ou visiteurs), ...
Autres interfaces : rôles, adressages, dhcp fourni ou non, dns local, ...
Règles NAT : forward
Règles Firewall : serveur web , mail ...
Packages ajoutés :aucun
Autres fonctions assignées au pfSense :aucune
Question : j'ai branché mon cable RJ45 de ma freebox en mode bridge vers un port trunk du switch qui alimente 2 ports qui sont connectés a chaque pate wan des pfsense.
J'ai fait la meme chose pour les VLAN niveau LAN pour decouper le switch manageable pour faire ce que je veux.J'ai utilisé le CARP et IP virtuelle pour faire la balance en quand de probleme d'une des deux pfsense. Pour la partie LAN je n'ai pas de soucis je ping l'ip virtuelle coté LAN (192.168.10.14) et ca fonctionne tout le temps
Le probleme est pour le coté WAN car le switch distribue le DHCP à l'interface WAN de chaque pfsense et donc évidement ca ne marche pas car l'ip 78.192.... ne peut etre attribuée simultanément aux 2 pfsense.
Ma question est la suivante: commment mettre en standby l'interface WAN qui n'est pas utilisée pour, qu'en cas de prob la bascule fonctionne correctement
ou avez vous une méthode pour faire de la HA entre 2 pfsense mais avec un unique WAN
merci
-
En DHCP ça ne va pas le faire car Free ne va t'allouer qu'une seule adresse.
Si tu configures ta Freebox en more routeur (et non pas en mode gateway), tu peux gérer une adresse fixe pour chaque interface WAN dans le plan d'adressage de ta Freebox et conserver une IP flottante qui va fournir la haute dispo.
Je suis quand même curieux de comprendre le risque que tu veux couvrir avec de type de design ;) une panne hardware de pfSense ?
-
merci de la reponse mais je ne veux pas mettre la freebox en mode routeur mais en bridge pour gerer la partie firewall directement via les pfsense
je fais ca pour eviter les coupures en cas de reboot pour les mises a jour
-
merci de la reponse mais je ne veux pas mettre la freebox en mode routeur mais en bridge pour gerer la partie firewall directement via les pfsense
Mais ça n'a rien à voir ;)
J'ai un serveur pfSense avec 2 interfaces WAN (vers une freebox et un accès FTTH) et pfSense n'a, sur les interfaces WAN, que des adresses dans RFC1918. Chaque équipement en bordure fonctionne en mode routeur (edge router) ce qui n'empêche pas d'avoir un firewall derrière ;)
Sur ces routeurs, je route vers le serveur pfSense les protocoles que j’accepte en entrée, de manière assez permissive d'ailleurs. Il n'y a pas de SPI.
-
oui je me doute mais je veux vraiment avoir l'ip publique directement sur la wan de la pfsense et faire comme j'ai mis au debut
est ce possible ? car j'ai lu qu'il falllait apparement 3 ip publiques pour utiliser carp
-
oui je me doute mais je veux vraiment avoir l'ip publique directement sur la wan de la pfsense et faire comme j'ai mis au debut
pourquoi pas mais quel est l'intérêt ?
est ce possible ? car j'ai lu qu'il falllait apparement 3 ip publiques pour utiliser carp
Ce n'est pas du domaine de "apparemment"
Il faut une IP par interface + une IP flottante.
Je doute que Free te fournisse 3 IP à la sortie de la Freebox mais dans le cas contraire, je suis assez intéressé à le savoir.
-
cette infra devra aller sur du housing chez online donc la j'aurais les ip necessaires, je vais donc attendre que cela soit en place sur le datacenter
merci de ta rapide reponse en tout cas