Configurer la haute disponibilité (HA) sous pfSense 2.6

  • Pare-feu
  • pfSense
  • 2/5

3. Configurer le pare-feu des machines pfSense

3.1. Configurer le pare-feu de la 1ère machine pfSense (maitre)

Pour commencer, sur votre 1ère machine pfSense, allez dans : Firewall -> Rules.

Allez dans l'onglet "PFSYNC" (qui correspond au nom de l'interface logique (par défaut : OPT1) ajoutée et renommée précédemment), puis cliquez sur : Add.

Note : 2 règles + 1 facultatives devront être créées pour que la synchronisation via pfSync puisse fonctionner correctement.

Pour commencer, autorisez la synchronisation de la configuration en configurant ces options :

  • Action : Pass. Pour autoriser le trafic réseau.
  • Interface : PFSYNC. Cela concerne l'interface logique "OPTx" renommée en "PFSYNC".
  • Address Family : IPv4. Dans notre cas, nous n'utilisons que l'IPv4 pour pfSync.
  • Protocol : TCP. pfSync utilise le protocole HTTPS (port 443) qui est de type "TCP".

Pour le reste, configurez :

  • Source : PFSYNC net. Correspond à l'ID réseau utilisé sur l'interface "OPTx" renommée en "PFSYNC".
  • Destination : PFSYNC address. Correspond à l'adresse IP définie sur cette interface "PFSYNC".
  • Destination Port Range : sélectionnez le port "HTTPS (443)" pour "From" et "To".
    Comme indiqué dans la documentation officielle, pfSync utilise le protocole HTTPS (port 443) pour la synchronisation de la configuration de pfSense.
  • Description : indiquez ce que vous voulez.
    Dans notre cas : Allow config synchronization.

Cliquez sur Save.

La 1ère règle du pare-feu a été créée pour votre interface logique "PFSYNC".

Cliquez à nouveau sur : Add.

Cette fois-ci, vous devez autoriser le trafic réseau utilisant le protocole "PFSYNC" pour que la synchronisation de l'état (maitre / esclave) puisse fonctionner correctement.

  • Action : Pass.
  • Interface : PFSYNC. Concerne l'interface logique "PFSYNC" (auparavant nommée "OPTx" par pfSense).
  • Address Family : IPv4.
  • Protocol : PFSYNC. Autorise le trafic réseau utilisant le protocole réseau "PFSYNC".

Ensuite, configurez ceci :

  • Source : PFSYNC net. Correspond au sous-réseau utilisé pour la communication de pfSync.
  • Destination : any. (= tout le monde)
  • Description : indiquez par exemple "Allow state synchronization".

Cliquez sur Save.

Votre 2ème règle de pare-feu a été créée pour votre interface réseau logique "PFSYNC".

Pour pouvoir tester facilement la connexion réseau via cette interface, vous pouvez ajouter une 3ème règle de pare-feu (mais qui est facultative).
Pour cela, cliquez à nouveau sur : Add.

Pour cette 3ème règle (facultative), indiquez ceci :

  • Action : Pass.
  • Interface : PFSYNC.
  • Address Family : IPv4.
  • Protocol : ICMP. Permet d'autoriser le ping.
  • ICMP Subtypes : sélectionnez uniquement "Echo request". Par défaut, tous les types de ping sont autorisés, mais la documentation officielle de pfSense indique de sélectionner uniquement "Echo request" dans ce cas-ci.

Ensuite, configurez ceci :

  • Source : PFSYNC net. Correspond au sous-réseau utilisé sur cette interface "PFSYNC".
  • Destination : idem.
  • Description : Allow ping for diagnostics.

Cliquez sur Save.

Votre 3ème règle de pare-feu a été créée.

Pour votre interface PFSYNC, vous devriez donc voir ces 3 règles dans le pare-feu de pfSense.

3.2. Configurer le pare-feu de la 2ème machine pfSense (esclave)

Sur votre 2ème machine pfSense, créez les 3 mêmes règles dans le pare-feu pour l'interface "PFSYNC".
Ce qui vous donnera ceci.

4. Configurer la synchronisation de l'état (pfSync) sur les 2 machines pfSense

Pour commencer, sur votre 1ère machine pfSense, allez dans : System -> High Avail. Sync.

Dans la section "State Synchronization Settings (pfsync)", configurez uniquement ces paramètres pour le moment :

  • Synchronize states : cochez la case "pfsync transfers state insertion, update, and deletion messages between firewalls" pour activer l'envoi et la réception des messages envoyés en multicast et utilisant le protocole PFSYNC.
    Cette option doit donc être activée sur tous les membres d'un groupe de basculement.
  • Synchronize Interface : sélectionnez l'interface réseau logique "PFSYNC" créée précédemment pour que pfsync utilise cette interface réseau.
  • pfsync Synchronize Peer IP : indiquez l'adresse IP définie sur l'interface logique "PFSYNC" de la 2ème machine pfSense.
    Dans notre cas, l'interface "PFSYNC" de notre machine "second-pfSense" possède l'adresse IP "172.16.1.3".

Ensuite, en bas de page, cliquez sur Save.

Ensuite, sur votre 2ème machine pfSense, allez également dans "System -> High Avail. Sync" et configurez également ces 3 premiers paramètres.

Attention : dans ce cas-ci, l'adresse IP à indiquer pour le paramètre "pfsync Synchronize Peer IP" correspond à l'adresse IP de l'interface "PFSYNC" de votre 1ère machine pfSense.
Dans notre cas, la 1ère machine possède l'adresse IP "172.16.1.2" pour PFSYNC.

Ensuite, cliquez sur "Save" en bas de page.

5. Configurer la synchronisation de la configuration (XMLRPC) sur la 1ère machine pfSense (maitre)

Important : uniquement sur votre 1ère machine pfSense (maitre), configurez les paramètres de la section "Configuration Synchronization Settings (XMLRPC Sync)".

  • Synchronize Config to IP : indiquez l'adresse IP (pour l'interface PFSYNC) de la 2ème machine pfSense.
    Cette adresse IP est la même que pour l'option "pfsync Synchronize Peer IP" configurée un peu plus haut sur cette même page.
    Dans notre cas : 172.16.1.3.
  • Remote System Username : le nom d'utilisateur du compte pfSense à utiliser pour synchroniser la configuration.
    Attention : ce compte d'utilisateur doit être présent sur les 2 machines pfSense et avoir le même mot de passe.
  • Remote System Password : le mot de passe de compte utilisateur.
  • Synchronize admin : cochez cette case si vous souhaitez que la modification du mot de passe des comptes admins soit répliquée automatiquement vers la 2ème machine pfSense.
    Ce qui permet de ne pas bloquer la synchronisation entre les 2 machines si vous veniez à changer le mot de passe du compte spécifié ici.

Sélectionnez les éléments que vous souhaitez automatiquement synchroniser depuis la machine pfSense maitre vers la machine pfSense esclave.
Pour tout sélectionner, cliquez simplement sur "Toggle All" en bas de l'option "Select options to sync".

Ensuite, cliquez sur Save.

Si vous allez sur votre 2ème machine pfSense, vous verrez que les configurations souhaitées y ont été répliquées.

Attention : ne modifiez plus des options de configuration sur la 2ème machine pfSense qui sont répliquées depuis la 1ère machine pfSense.
En effet, les modifications effectuées sur la 2ème machine pfSense seraient perdus lorsque la 1ère machine pfSense répliquera à nouveau ses paramètres vers la 2ème machine pfSense.

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.