Configurer la haute disponibilité (HA) sous pfSense 2.6

9.3. Vérifier la réplication de la configuration de pfSense

Si vous avez activé la synchronisation de tous les éléments de configuration de pfSense à l'étape "5. Configurer la synchronisation de la configuration (XMLRPC) sur la 1ère machine pfSense (maitre)", vous pouvez vérifier la réplication de la configuration de pfSense à de nombreux endroits.

Mais, par exemple, vous pouvez vérifier la réplication de la configuration NAT sortant (Outbound NAT) en allant dans : Firewall - > NAT -> Outbound.
Sur vos 2 machines, vous verrez que le NAT sortant hybride (Hybrid Outbound NAT) est utilisé et que 2 mappages NAT sont présents.

Vous pouvez également vérifier la configuration du pare-feu de pfSense en allant dans : Firewall -> Rules.
Vous pourrez voir, par exemple, la réplication des règles définies pour l'interface "PFSYNC".

9.4. Vérifier le statut de basculement du serveur DHCP

Précédemment, vous aviez indiqué l'adresse IP de l'autre machine pfSense dans le champ "Failover peer IP" dans la configuration du serveur DHCP de pfSense.
Pour vérifier que pfSense l'a bien pris en compte, allez dans "Status -> DHCP Leases".
En haut de page, vous verrez une section "Pool Status" apparaitre.

Comme prévu :

• My State : le statut de la machine pfSense où vous vous trouvez est normal.
• Peer State : le statut de l'autre machine pfSense est aussi normal.

9.5. Forcer un PC client du réseau LAN à obtenir les nouvelles informations DHCP

Pour que les machines du réseau LAN puissent recevoir les nouvelles informations DHCP (dont l'adresse IP de la passerelle par défaut et l'adresse IP du serveur DNS préféré pointant sur l'adresse IP LAN virtuelle (VIP) CARP), il vous suffit d'ouvrir un invite de commandes et de taper les 2 commandes ci-dessous.
Celles-ci permettent respectivement de réinitialiser la carte réseau de votre machine, ainsi que libérer l'adresse IP utilisée. Puis, demander une nouvelle adresse IP au serveur DHCP présent sur votre réseau.

Batch

ipconfig /release
ipconfig /renew

Note : si vous ne souhaitez pas utiliser l'invite de commandes, vous pouvez tenter de désactiver la carte réseau, puis la réactiver depuis la fenêtre "Connexions réseau" de Windows.

9.6. Pools d'adresses IP et baux DHCP répliqués

Si vous allez dans la configuration du serveur DHCP de vos 2 machines, vous verrez que la plage DHCP configurée sur la 1ère machine pfSense (agissant comme maitre) a été répliquée vers la 2ème machine (agissant en tant qu'esclave).

Pour les baux DHCP, vous verrez que ceux-ci sont présents sur vos 2 machines pfSense.
Ainsi, les 2 machines pfSense connaissent déjà la liste des adresses IP distribuées sur votre réseau par vos serveurs DHCP et ne distribueront donc jamais 2 fois la même adresse IP à 2 machines de votre réseau.

9.7. Tester le basculement de pfSense

Si tout est bon, alors vous pouvez tester le basculement automatique de pfSense en déconnectant la 1ère machine pfSense (qui agissait en tant que maitre (MASTER)) du réseau.
Déconnectez toutes les cartes réseau de cette machine pfSense pour le test.

Note : dans notre cas, nous avons installé pfSense dans une machine virtuelle.
D'où la fenêtre ci-dessous.

Comme prévu, la 1ère machine pfSense est inaccessible.
Sur votre 2ème machine pfSense, allez dans : Status -> CARP.

Comme vous pouvez le voir, votre 2ème machine pfSense agit maintenant comme maitre pour vos adresses IP virtuelles (VIP) CARP.

Note : l'accès au réseau et à Internet fonctionne aussi correctement.

Reconnectez la 1ère machine pfSense au réseau.

Note : reconnectez toutes ses cartes réseau.

La 1ère machine pfSense redevient maitre (MASTER) automatiquement.

La 2ème machine pfSense redevient esclave (BACKUP) automatiquement.

Si vous testez l'accès au réseau et plus précisément aux adresses IP LAN, ainsi que l'adresse IP LAN virtuelle partagé par vos 2 machines pfSense, vous verrez que cela fonctionne.

Idem pour Internet.
Pour cela, tentez de pinguer l'adresse IP du serveur DNS publique de Google "8.8.8.8". Si cela fonctionne, alors vous pouvez tenter de pinguer un nom de domaine, tel que : google.com.

Procédure de test basée sur la documentation officielle de pfSense : Verifying Failover Functionality | pfSense Documentation.