Failover avec pfsense 2.X
Avant-propos
A l’heure de l’écriture de cette page, la version 2.2 est sortie. Nous allons néanmoins utilisé la version 2.1.5 de pfSense avec des machines virtuelles pour faire la démonstration d’une haute disponibilité (Failover) avec le routeur/pare-feu. L’installation n’est pas montré dans cette page, nous allons partir du principe que vous avons 2 pfsenses avec 3 cartes réseaux avec des interfaces dédiées.
Interfaces
Le mode de promiscuité doit être activé sur les cartes virtuelles pour l’exercice fonctionne. Le système de haute disponibitlié étant basé sur une adresse MAC partagé entre les routeurs, il est indispensable d’activer ce mode.
pfSense – master
pfSense – slave
Configuration d’une interface dédié à la synchronisation
Dans l’exemple, nous mettons en place une interface dédiée, OPT1, pour la synchronisation. Cette interface sera utilisé pour des raisons de sécurité et de performance. Elle peut être fortement utilisée. Nous allons effectué le même travail sur les 2 pfsenses.
On se retrouve dans le règles du par-feu et on va mettre en place une règle laissant passer le trafic depuis l’interface OPT1 vers n’importe quelle destination. La configuration devrait ressembler à celle-ci sur les 2 pfsenses.
On teste que tout est en place. On vas aller dans l’interface graphique ou avec le prompt pour faire un ping l’adresse IP du second slave depuis le master. On remarquera que le protocole utilisé pour la synchronisation est pfsync.
Activation de la synchronisation de configuration sur le slave
On commence par le slave pour éviter à un lecteur trop presser de mettre la même configuration sur les 2 pfsense. On remplit juste la partie dans les images sans touchés pour le slave à la partie « Configuration Synchronization Settings ». Merci de lire la note à cet effet.
Activation de la synchronisation de configuration sur le master
On choisit les options que l’on souhaite voir se synchroniser entre les 2 pfsenses. Une fois les changements sauvegardés, les modifications du master devrait se répercuter sur le slave. Ne pas oublier de mettre « Synchronize Virtual IPs » dans les options de synchronisation pour la suite.
Haute disponibilité
« La disponibilité est aujourd’hui un enjeu important des infrastructures informatiques. Une étude de 2007 estime que la non-disponibilité des services informatiques peut avoir un coût de 440 000 euros de l’heure1, ces coûts se chiffrant en milliards d’euros à l’échelle d’un pays. L’indisponibilité des services informatiques est particulièrement critique dans le domaine de l’industrie, notamment en cas d’arrêt d’une chaîne de production. » Source : http://fr.wikipedia.org/wiki/Haute_disponibilit%C3%A9
Création d’adresse IP virtuelle
Il faut une 3ème adresse IP afin que les éléments réseaux puissent pointer dessus et ne se rendent pas compte qu’un des pfsenses est tombé et que l’autre a repris la main. On va avoir une configuration quasiment identique entre les 2 pfsenses, les différences sont au niveau de l’adresse IP du groupe VHID. On configure que le master, car la configuration sera poussée sur le slave dès que la modification sera effective. On va rajouter une adresse IP virtuelle finissant par .252 pour le LAN et le WAN. On se rend dans le menu « Firewall » puis Virtual IPs ».
LAN
WAN
On applique les changements et se prépare à tester le bon fonctionnement de la haute disponibilité. On va regarder le statut du CARP dans le menu « Status » puis CARP (failover). Sur le master, la configuration ne ressemble pas à l’image ci-dessous.
Regarder à nouveau la configuration faite et contrôler que vous avez la même chose avec les adresses qui sont les vôtres. Le slave a normalement la même configuration mais à BACKUP au lieu de MASTER.
Olivier
Base de connaisances 
Laisser un commentaire