Aide sur mise en place FAILOVER CARP



  • Bonjour à tous,

    Je viens vous exposer mon problème :
    Ma direction me demande de remplacer le PfSense en place (fonctionnel depuis un moment) ;D  par 2 appliances strictement identiques en Failover.

    Voici un exposé de notre infrastructure : (Schéma en PJ)

    Convertisseur fibre opérateur : 185.xxx.171.13/30

    Plage IP publique de 185.xxx.148.98 à 185.xxx.148.129 routée. 1 seul port RJ45.
    Nous disposons donc de 32 Ip publiques que nous déclarons en IP Alias sur le Pfsense pour les utiliser.

    Pfsense :
    Wan 185.xxx.171.14/30
    Lan 172.16.0.1/16
    4 interfaces non utilisées

    Je voudrai donc ajouter un pare-feu en failover mais là ou je bloque c'est sur le WAN.
    Le masque en /30 ne permet que 2 machines sur la plage. Ici, le convertisseur et mon PfSense.
    Si je dois en ajouter un, je ne vois pas comment celui-ci peut communiquer sur l'interface WAN avec la fibre. Je rappelle, un seul port sur le convertisseur.

    A moins de faire une bascule manuelle  :o, prendre les câbles un par un et les basculer sur le 2nd…Mais là, je ne vais pas présenter ça comme du failover...

    Si quelqu'un a une suggestion je suis preneur ...

    ![schema fibre.jpg](/public/imported_attachments/1/schema fibre.jpg)
    ![schema fibre.jpg_thumb](/public/imported_attachments/1/schema fibre.jpg_thumb)



  • Je ne comprends pas ton histoire de cable à migrer "un à un"  :-[
    Si je comprends bien to message, il s'agit de remplacer un pfSense unique par une paire de pfSense en haute dispo.
    Par ailleurs, tu sembles indiquer que les adresses entre 185.39.171.98 et 185.39.171.129 se trouvent derrière, en terme de routage, 185.39.171.14

    Si c'est bien le cas, et à supposer qu'il n'y a qu'un seul cable entre le pfSense et le convertisseur, je ne vois pas où est le problème.
    Il te suffit de mettre un switch derrière ton convertisseur, de définir une IP virtuelle en 185.39.171.14 et de mettre les adresse IP physiques WAN de tes pfSense dans un segment privé (RFC1918)

    Ou alors il y a quelque chose que je ne comprends pas dans ta question  :-\



  • Désolé pour les câbles, je croule sous le taf et je me suis emporté dans mon délire … Faire 2 fois la même conf et rebrancher sur le second en cas de panne du 1er ...

    Quoi qu'il en soit, j'aimerai bien que tu précises ton propos car ton idée m'intéresse.

    Petite précision c'est la plage d'ip publique 185.xxx.148.129/27 qui est routée.
    Le pfsense et le convertisseur sont sur 185.xxx.171.13/30

    Autre précision, nous avons du NAT sur les IP publique routées vers des machines locales.

    Je fais comment pour mettre les WAN en privé et mettre une ip virtuelle ? L'ip virtuelle, je l'affecte à quel niveau ?

    En tout cas, merci pour la réponse !



  • le fonctionnement de CARP consiste à:

    • installer 2 pfSense qui seront tous les 2 actifs avec une adresse "réelle" dans un réseau dédié au fail-over.
    • mettre en place un cluster qui va lier et synchroniser ces 2 serveurs
    • une adresse IP flottante (IP virtuelle) est alloué au serveur du cluster qui sera actif. Si celui-ci tombe, l'autre serveur va noter que le serveur précédemment actif ne répond pas et il va s'attribuer l'adresse IP flottante.

    Tes adresses publiques seront donc des adresses flottantes.
    De même, il faut reproduire ce mode de fonctionnement sur la partie interne du réseau pour que, depuis l’intérieur, le routage se fasse bien vers le serveur "actif"

    pour la partie entre le convertisseur et la paire de pfSense, il suffit de mettre un switch.

    Attention, il faut que les pfSense soient capable de s'assurer "à coup sur" du statu de l'autre serveur. Un réseau dédié est souvent alloué à cet usage. ça évite des surprises si tu débranches un cable ou arrête un switch ou si celui-ci tombe en panne.

    Attention 2: ce type de cluster protège de panne du serveur pfSense mais pas nécessairement de panne des interfaces ni des équipement réseau.
    Si tu as de vrais besoins de HA y compris le réseau, un simple switch ne suffit pas et il faut plus d'interfaces sur chaque machine.

    Mais à ce détail près, c'est assez simple.





  • Merci Chris 4916 pour ces réponses.

    Je ne sais pas si je suis fatigué, ne comprends pas bien ou un peu des 2 mais l'explication que tu me donnes je la comprends dans les grandes lignes et le document vers lequel pointe le lien également, ce que j'ai du mal à saisir c'est :

    Si je mets un switch après mon convertisseur, comment je fais pour que mes Pfsense puissent communiquer avec lui s'ils sont sur un réseau privé sur la partie Wan ?

    Il reste des interfaces pour le Pfsync.
    Pour ce qui est de la vraie HA, on va déjà essayer de mettre le Failover de Pfsense et après on verra  ;).



  • @mickael62:

    Si je mets un switch après mon convertisseur, comment je fais pour que mes Pfsense puissent communiquer avec lui s'ils sont sur un réseau privé sur la partie Wan ?

    Tu oublies un tout petit détail  ;D

    Il n'y a qu'un seul pfSense qui communique avec  le convertisseur et donc internet, c'est celui qui supporte la VIP publique.
    Pour simplifier, en terme de routage, les pfSense sont sur un réseau privé.
    A un instant donné, un seul des deux a l'IP publique. Celle-ci est "flottante".

    A noter que le switch s'en moque complètement: les 2 pfSense peuvent se voir au travers du switch via le réseau privé sur l'interface WAN. Ce ne serait pas pareil si c'était un routeur n'est-ce pas  ;)


Log in to reply