Cluster pFsense HA en utilisant CARP (Failover)

Dans cet article nous allons mettre en place un cluster haute disponibilité pFsense Actif/Passif en utilisant CARP.

Version pFsense 2.2.4

Prérequis

Si vous travaillez dans un environnement virtuel, il vous faut activer le mode de promiscuité (sous VMWare Mode Espion) sur les différentes cartes qui posséderons une IP virtuelle (dans mon exemple, LAN et WAN)

Sous VMWARE :

A faire sur tous les vSwitch concernés des différents hôtes
Se connecter au client Vsphere
Configuration - Mise en réseau - Propriété sur le vSwitch

pfsenseha01

Vous devez disposer de deux PFsense avec trois interfaces minimum
Une interface LAN
Une interface WAN
Une interface dédié à la synchronisation de votre cluster

Configuration du cluster souhaité

Première PFsense
IP LAN : 192.168.100.251 / 24
IP WAN : 192.168.10.3 / 24
IP Sync HA : 192.168.200.1 / 24

Seconde PFsense
IP LAN : 192.168.100.252 / 24
IP WAN : 192.168.10.4 / 24
IP Sync HA : 192.168.200.2 / 24

Configuration du cluster HA
IP LAN du cluster : 192.168.100.254 / 24
IP WAN du cluster : 192.168.10.252 / 24

Configuration réseau des PFsense

A réaliser sur les deux PFsense

Se connecter sur l'interface WEB de la PFsense
Configurer les interfaces réseaux

pfsenseha02 pfsenseha03

Configurer les règles de par-feu afin d'autoriser les flux de synchronisation du cluster HA

pfsenseha04

Configuration de la PFsense SLAVE (backup/secondaire)

Se connecter sur l'interface WEB de la PFsense SLAVE (BACKUP/secondaire)
Dans mon exemple : 192.168.100.252

System - High Avail. Sync
Synchronize States : Cocher pour activer
Synchronize Interface : Sélectionner l'interface de synchronisation (ici HA)
pfsync Synchronize Peer IP : Indiquer l'adresse IP de la PFsense MAITRE (principale)

pfsenseha05Cliquer sur Save

Configuration de la PFsense MASTER (principale)

Se connecter sur l'interface WEB de la PFsense MASTER (principale)
Dans mon exemple : 192.168.100.251

System - High Avail. Sync
Synchronize States : Cocher pour activer
Synchronize Interface : Sélectionner l'interface de synchronisation (ici HA)
Synchronize Config to IP
: IP de la PFsense SLAVE (backup/secondaire)
Remote System Username : 
Utilisateur de la pfsense SLAVE (backup/secondaire)
Remote System Password : 
mot de passe de la pfsense SLAVE (backup/secondaire)

pfsenseha06

Sélectionner tous les éléments de configuration que vous souhaiter synchronisation (dans mon exemple, je désire tous synchroniser) puis cliquer sur Save

Configuration réseau du Cluster HA

A ne réaliser que la PFsense MASTER (principale)

Se connecter sur l'interface WEB de la PFsense MASTER (principale)
Dans mon exemple : 192.168.100.251

Configuration IP virtuelle du LAN

Firewall - Virtual IPs - Cliquer sur le signe +

TYPE : CARP
Interface : Sélectionner votre interface LAN
IP Address(es) : Renseigner l'IP virtuel LAN de votre Cluster HA
Virtual IP Password : Renseigner un mot de passe
VHID Group : Indiquer 1
Advertising Frequency : Indiquer 1
Description : Indiquer la description de l'IP virtuelle

pfsenseha07Cliquer sur Save

Configuration IP virtuelle du WAN

Firewall - Virtual IPs - Cliquer sur le signe +

TYPE : CARP
Interface : Sélectionner votre interface WAN
IP Address(es) : Renseigner l'IP virtuel WAN de votre Cluster HA
Virtual IP Password : Renseigner un mot de passe
VHID Group : Indiquer 2
Advertising Frequency : Indiquer 1
Description : Indiquer la description de l'IP virtuelle

pfsenseha08Cliquer sur Save

Configuration générale des IPs virtuelles

pfsenseha09

Vérifier l'état du Cluster HA

Connectez-vous sur l'interface WEB de la PFsense principale

Status - CARP (failover)

pfsenseha10

La PFsense principale est bien en Status MASTER

Connectez-vous sur l'interface WEB de la PFsense secondaire

Status - CARP (failover)

pfsenseha11

La PFsense secondaire est bien en Status BACKUP

Depuis un poste client :
Effectuer un ping continue vers l'IP LAN du Cluster HA
Déconnecter la PFsense principale
Un paquet ou deux se perd puis la connexion reprend en utilisant la PFsense secondaire

1 commentaire sur “Cluster pFsense HA en utilisant CARP (Failover)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *