Pfsense HA-claster CARP

Развертывания НА-кластера Pfsense для терминирования IPSEC и др. туннелей с внешними контрагентами.
Дистрибутив:
https://nyifiles.pfsense.org/mirror/downloads/pfSense-CE-2.3.4-RELEASE-amd64.iso.gz
Для проверки функционала разворачиваем дистрибутив согласно интуитивно понятного интерфейса текстовой консоли:

Используя пункты 1 и 2 присваиваем роли интерфейсов и прописываем IP-адреса.
Зайти на WEB-страницу управления и конфигурирования можно подключившись на IP-адрес LAN-интерфейса.
Если есть необходимость заходить для конфигурирования на WAN IP-адрес, то можно зайти в «шелл» (п.8) и прописать там необходимое  правило firewall:
easyrule pass wan tcp XX.XX.XX.XX YY.YY.YY.YY 443
где XX.XX.XX.XX – IP-адрес  с которого будет делать подключение, а YY.YY.YY.YY – IP-адрес WAN-интерфейса.

Настройка необходимых сервисов делается из WEB-интерфейса.

Настройка CARP. Схема включения кластера из 2-х Pfsense, будет выглядеть примерно так: рис.1

Все можно делать по инструкции отсюда:
https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_%28CARP%29#Verify_CARP_Status

Тонкости которые не очевидны и их надо обязательно учесть:
А) При разворачивании на Vmware, обязательно надо выставлять в параметрах виртуального порта:
  1. Enable promiscuous mode on the vSwitch
  2. Enable "MAC Address changes"
  3. Enable "Forged transmits"
Иначе члены кластера CARP не будет передавать друг другу виртуальный IP-адрес.
Б) В настройках  Firewall->Virtual-IP (CARP) значение Advertising frequency у Master (1) должно быть меньше чем у Slave (2),  а значение VHID-group одинаковое для одного Virtual-IP на однотипных интерфейсах  членов кластера, т.е. для Virtual-IP  на WAN VHID-group=Х, на LAN VHID-group=Y. Также должны быть одинаковы значения Skew, иначе участники кластера не будут считать себя работающими в одной связке.
Мастер:           

Slave:
- В версии Pfsense «2.3.4-RELEASE-p1 (amd64)  built on Fri Jul 14 14:52:43 CDT 2017 FreeBSD 10.3-RELEASE-p19», возможно и в других, есть один неприятный момент, если по инструкции отметить в настройках System->High Avail. Sinc в пункте «Select options to sync» все пункты, включая Virtual IPs, то при добавлении правила firewall на Master, оно не просто передастся Slave (как и должно), но и передадутся настройки Virtual-IP Master-а Slave-у, вследствие чего кластер развалится. Поэтому галочку ставить на пункте Virtual IPs – не надо (в настройках обоих Pfsense).

В идеале должны получится такие Status->CARP (failover):
(IP-адреса в скриншотах отличаются от картинки из документации (рис. 1) и соответствуют реальному тесту).
Master:

Slave:


Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии (Atom)