SMPFR

Bonjour les loulous

Je viens de poster sur le forum officiel, mais souhaitant maximiser le temps de réponse... !

Contexte : Pro, il s'agit d'un environnement virtuel (ESXi 5.5). 1 VM pfSense / Datastore.

Besoin : mise en place d'une solution redondée.

Schéma :

WAN : 1 IP publique (OVH)

LAN : une seule interface

SYNC : interface dédiée à la synchronisation.

Autres interfaces : virtual IP address => 192.168.xxx.254/24 (vhid1) Interface => LAN Type => CARP Advertising Frequency => Base 1 / Skew 0

Aliases => Ports => Web 80, 443

Règles NAT :

WAN TCP * * WAN address Web(alias) 192.168.xxx.80 Web(alias) Reverse Proxy

Règles Firewall :

WAN IPv4/ICMP * * WAN address * * none Autoriser PING

WAN IPv4/TCP * * WAN address 8088 * none WebGui

LAN * * * LAN Address 8088 * * Anti-Lockout Rule

SYNC IPv4* * * * * * none Autoriser tout le trafic sur l'interface HA (règle ajoutée sur les deux firewall)


Question : Est-il possible de monter une solution HA avec seule IP WAN ?


Logs et tests : Logs ok, la synchronisation fonctionne bien! La slave prend bien le relais...

Problème rencontré : Cela concernant l'accès à la GUI (quand les deux vm sont allumées) depuis l'ip publique c'est la roulette russe!!! Je tombe sur l'une ou l'autre VM...
Depuis l'ip virtuelle, je tombe systématiquement sur la vm slave!

---

J'ai aussi testé la configuration ci-dessous :

Règles NAT :

WAN TCP * * WAN address Web(alias) 192.168.xxx.80 Web(alias) Reverse Proxy
WAN TCP * * WAN address 8088 192.168.xxx.254 8088 WebGui

Règles Firewall :

WAN IPv4/TCP * * 192.168.xxx.254 8088 * none WebGui

Configuration des deux VM :

pfSense01 (master)

1 adressage WAN publique 37.xxx.xxx.xxx/32
1 adressage LAN en 192.168.XXX.251/24
1 adressage SYNC en 10.1.1.1

pfSense02 (slave)
1 adressage WAN publique 37.xxx.xxx.xxx/32
1 adressage LAN en 192.168.XXX.252/24
1 adressage SYNC en 10.1.1.2

Question : Est-il possible de monter une solution HA avec seule IP WAN ?

Salut,
A cette question, la réponse est non...
PF utilise une IP et un VIP. C'est cette VIP qui se balade du master au slave.

Tu as suivi le guide du site PF ?
Car je l'utilise et pas eu de soucis.

Apres si tu veux n'avoir qu'une IP Pub, tu peux monter une 3e machine qui elle a l'IP Pub et fait juste passe-plat

Tu as du régler en load-balancer ce qui fait que lorsque tu te connectes, ils se partagent les requêtes qui arrivent (en gardant la session sur une même machine)

Question : Est-il possible de monter une solution HA avec seule IP WAN ?

Salut,

A cette question, la réponse est non...
PF utilise une IP et un VIP. C'est cette VIP qui se balade du master au slave.

Ma VIP a bien été déclarée 192.168.xxx.254
Type CARP interface LAN

Mais d'après ce que je comprends, c'est la VIP WAN qui se balade...

Tu as suivi le guide du site PF ?

Je n'ai suivi que des tutoriels...

Apres si tu veux n'avoir qu'une IP Pub, tu peux monter une 3e machine qui elle a l'IP Pub et fait juste passe-plat

Je perds l'intérêt de la redondance...

Les 2 vip se baladent lan et wan

Après peut-être qu'on peux gruger avec OVH genre déclarer des IP à la con et une vip reelle

Je vais regarder du côté de IP ALIAS.

Question : Est-il possible de monter une solution HA avec seule IP WAN ?

A ma connaissance , il me semble que si , c'est possible

Kali , pour info , la personne ( tatave ) qui t'a répondu sur le forum de pfsense est actuellement en formation avec moi ... si ca te dis de le rencontrer pour papoter pfsense , c'est gérable

@Yullito Cela pourrait être intéressant, merci.
Reste à caler un jour...

Avec un alias, j'arrive à quelque chose de stable... Mais depuis le réseau interne, je n'accède plus à internet! :d

D'après mes recherches, il faut configurer le NAT outbound en manuel... Mais je n'y arrive pas! :/

Edit : depuis l'extérieur j'accède bien à la bonne GUI.

Finalement pas si stable...

Pour information on me fournit ceci :

IP publique : 37.59.xxx.247

Passerelle : 37.59.xxx.254

Avec la configuration suivante, j'approche du but... Le basculement fonctionne, mais l'accès à internet finit par tomber quelques minutes après le passage sur le slave.
Pour information le NAT Outbound est en auto.

En manuel, je n'arrive pas à avoir l'avoir à internet depuis le réseau local... Je dois me tromper dans la règle! :/

pfSense01 (master)

1 adressage WAN 37.xxx.xxx.xxx/32 ip publique
1 adressage LAN 192.168.XXX.251/24 réseau local
1 adressage SYNC 10.1.1.1 interface dédiée à CARP

pfSense02 (slave)
1 adressage WAN 37.xxx.xxx.xxx/32 ip publique
1 adressage LAN 192.168.XXX.252/24 réseau local
1 adressage SYNC 10.1.1.2 interface dédiée à CARP

Virtual IPs

10.2.2.1/24 WAN IP Alias IP WAN (local)
10.2.2.254/24 (vhid 2) WAN CARP IP WAN de référence

192.168.xxx.254/24 (vhid 1) LAN CARP IP LAN de référence

salut salut

tu en es ou avec ton soucis de fp ?

tu peux nous faire un retour ?

Dans cette configuration atypique, je n'ai pas réussi à le mettre en place...

Avec la configuration suivante, j'approche du but... Le basculement fonctionne, mais l'accès à internet finit par tomber quelques minutes après le passage sur le slave.

perso je suis en FO depuis quelques années avec PF hormis des soucis de compatibilité de carte et des câbles fatigués, j'ai plus de soucis mes bascules se font de manière transparentes.
La je réfléchie à faire du multi vlan en FO pour avoir plus de granularité dans ma conf et ce qui il y a derrière.

NB je suis moi en mode physique @home avec pf.

Dans le cadre d'une virtu tu complexifies le problème je trouve.
Le seul conseil qui me vient est le suivant, de faire en physique en premier et réfléchir en parallèle à la virtu.

Après il est tjrs possible d'en parler au tour d'une mousse ou d'un bon café, (faut juste que je remonte mon lab esxi)