• Pare-feu
  • pfSense
  • 1/5

Pour assurer la disponibilité de votre passerelle, de votre serveur DHCP, ainsi que de n'importe quel autre service configuré sur votre machine ou routeur pfSense, vous pouvez configurer la haute disponibilité sous pfSense grâce aux options disponibles nativement.

  1. Configuration initiale de vos machines pfSense
  2. Ajouter une interface pour pfSync
    1. Ajouter une carte réseau pour pfSync (sur les 2 machines)
    2. Ajouter une interface logique pour pfSync sur la 1ère machine pfSense (maitre)
    3. Ajouter une interface logique pour pfSync sur la 2ème machine pfSense (esclave)
  3. Configurer le pare-feu des machines pfSense
    1. Configurer le pare-feu de la 1ère machine pfSense (maitre)
    2. Configurer le pare-feu de la 2ème machine pfSense (esclave)
  4. Configurer la synchronisation de l'état (pfSync) sur les 2 machines pfSense
  5. Configurer la synchronisation de la configuration (XMLRPC) sur la 1ère machine pfSense (maitre)
  6. Ajouter des adresses IP virtuelles (VIP) CARP partagées par les 2 machines pfSense
    1. Ajouter une adresse IP virtuelle (VIP) CARP pour l'interface WAN des 2 machines pfSense
    2. Ajouter une adresse IP virtuelle (VIP) CARP pour l'interface LAN des 2 machines pfSense
  7. Configurer le NAT sortant pour utiliser l'adresse IP WAN virtuelle (VIP) CARP
    1. Configurer le NAT sortant en mode hybride
    2. Ajouter un mappage pour le NAT sortant
    3. Ajouter un mappage pour l'intercommunication IPsec (facultatif)
  8. Modifier la configuration du serveur DHCP (pour synchroniser les baux DHCP)
  9. Vérifier et tester le basculement sous pfSense
    1. Vérifier le statut de CARP
    2. Vérifier la synchronisation de l'état
    3. Vérifier la réplication de la configuration de pfSense
    4. Vérifier le statut de basculement du serveur DHCP
    5. Forcer un PC client du réseau LAN à obtenir les nouvelles informations DHCP
    6. Pools d'adresses IP et baux DHCP répliqués
    7. Tester le basculement de pfSense

1. Configuration initiale de vos machines pfSense

Dans ce tutoriel, nous utiliserons 2 machines virtuelles pfSense connectées aux mêmes réseaux.
Néanmoins, il est important que celles-ci possèdent des adresses IP différentes pour ne pas créer de conflit d'adresses IP.

Note : une fois la haute disponibilité activée et configurée sous pfSense, vos clients utiliseront les adresses IP virtuelles (VIP) partagées par vos 2 machines pfSense.

Notre 1ère machine pfSense, qui sera définie comme maitre (Master) par défaut, est nommée "main-pfSense" et possède ces adresses IP :

  • IP WAN : 192.168.1.11
  • IP LAN : 10.0.0.2

Notre 2ème machine pfSense, qui sera définie comme machine esclave (Backup) par défaut, est nommée "second-pfSense" et possède ces adresses IP :

  • IP WAN : 192.168.1.12
  • IP LAN : 10.0.0.3

A titre d'information, voici les adressages IPs utilisés dans ce tutoriel :

  • Pour le WAN :
    • 192.168.1.10/24 : IP partagée CARP (IP virtuelle)
    • 192.168.1.11/24 : main-pfSense - machine 1 - WAN IP
    • 192.168.1.12/24 : second-pfSense - machine 2 - WAN IP
  • Pour le LAN :
    • 10.0.0.1/8 : IP partagée CARP (IP virtuelle)
    • 10.0.0.2/8 : main-pfSense - machine 1 - LAN IP
    • 10.0.0.3/8 : second-pfSense - machine 2 - LAN IP
  • Pour l'interface de synchronisation (PFSYNC) qui sera créée dans ce tutoriel :
    • 172.16.1.2/24 : main-pfSense - machine 1 - PFSYNC IP
    • 172.16.1.3/24 : second-pfSense - machine 2 - PFSYNC IP

Sur notre 1ère machine pfSense, le serveur DHCP distribue les adresses IP "10.0.0.11" à "10.0.0.19".

Sur notre 2ème machine pfSense, le serveur DHCP distribue les adresses IP "10.0.0.20" à "10.0.0.29".

Important : cela évite que les 2 machines pfSense ne distribuent la même adresse IP à 2 machines différentes tant que la haute disponibilité n'est pas activée et configurée.

Note : utiliser 2 serveurs DHCP sur un même réseau ne pose pas de problème tant que les plages d'adresses IP distribuées sont différentes.
En effet, le PC client utilisera l'adresse IP proposée par le serveur DHCP qui répond en 1er à sa demande DHCP.

Important : vous devez assigner les interfaces logiques (WAN, LAN, ...) aux interfaces physiques (ex : vmxX, emX, ...) dans le même ordre sur les 2 machines pour que la haute disponibilité puisse répliquer correctement les configurations réseau.

Note : le nom des ports réseau dépend du pilote utilisé par la carte réseau concernée.

Sur la console, cela donne ceci dans notre cas.

Sur la 1ère machine pfSense.

Sur la 2ème machine pfSense.

2. Ajouter une interface pour pfSync

Pour synchroniser les paramètres de la machine pfSense maitre (Master) vers celle esclave (Backup), il est recommandé d'utiliser une carte réseau dédiée pour éviter qu'un pirate ou une personne mal intentionnée puisse récupérer ou modifier les messages pfSync envoyés via le réseau par pfSense.

2.1. Ajouter une carte réseau pour pfSync (sur les 2 machines)

Sur vos 2 machines pfSense, ajoutez une carte réseau et connectez celle-ci à un switch dédié, un VLAN dédié ou connectez-les ensemble avec un câble réseau croisé.

Dans notre cas, nous virtualisons pfSense sous VMware Workstation Pro pour ce tutoriel, donc nous ajoutons à chaud une carte réseau virtuelle à nos machines virtuelles pfSense et nous connectons celles-ci sur un réseau virtuel nommé "pfSense Sync".
Dans le programme "Virtual Network Editor" de VMware Workstation Pro, nous avons indiqué le sous-réseau (Subnet) "172.16.1.0 / 255.255.255.0" qui correspond au sous-réseau qui sera utilisé par les interfaces pfSync dans ce tutoriel.
Dans le cas d'un routeur physique ou de l'hyperviseur VMware ESXi (vSphere), vous n'avez pas besoin de spécifier le sous-réseau (Subnet) à l'avance.

Attention : dans le cas d'une installation de pfSense dans une machine virtuelle VMware, pfSense recommande d'utiliser une carte réseau virtuelle VMXNET3.
Ce qui nécessite la modification de l'option ci-dessous dans le fichier de configuration (.vmx) de la machine virtuelle concernée.
Pour plus d'informations, référez-vous à l'étape "3. Virtualiser pfSense sous VMware Workstation Pro" de notre tutoriel concernant l'installation de pfSense sous VMware Workstation Pro.
Note : dans notre cas, "ethernet2" correspond à notre 3ème carte réseau virtuelle qui est connectée à notre réseau virtuel "pfSense Sync".

Plain Text

ethernet2.virtualDev = "vmxnet3"

2.2. Ajouter une interface logique pour pfSync sur la 1ère machine pfSense (maitre)

Avant de pouvoir configurer les interfaces logiques, il est nécessaire de redémarrer vos machines pfSense si les cartes réseau ont été ajoutées à chaud (sans éteindre la machine).
Pour cela, dans l'interface web de pfSense, allez dans le menu : Diagnostics -> Reboot.
Ensuite, sélectionnez la méthode de redémarrage (Reboot method) "Normal reboot" et cliquez sur : Submit.

Patientez pendant le redémarrage de pfSense.

Plain Text

Rebooting.
Page automatically reload in 90 seconds.

Une fois le redémarrage de pfSense terminé, la page de connexion de pfSense s'affichera.

Pour commencer, connectez-vous à la 1ère machine pfSense (qui sera maitre).

Dans notre cas, cette 1ère machine pfSense s'appelle "main-pfSense" comme vous pouvez le voir dans le nom de la page.
Allez dans : Interfaces -> Assignments.

Une option "Available network ports" apparaitra avec le nom de la carte réseau physique ajoutée à votre machine pfSense.
Cliquez sur : Add.

Par défaut, l'interface ajoutée apparaitra sous le nom "OPT1".
Cliquez sur le nom de cette interface "OPT1" ou allez dans "Interfaces -> OPT1" pour la modifier.

Note : si vous avez déjà ajouté des interfaces en plus de "WAN" et "LAN" auparavant, pfSense utilisera un autre numéro, mais le préfix utilisé sera toujours "OPT".

Sur la page "Interfaces / OPT1" qui s'affiche, configurez les premiers paramètres :

  • Enable : cochez la case "Enable interface" pour activer cette interface réseau logique.
  • Description : indiquez "PFSYNC" pour que cette interface logique apparaisse sous ce nom plutôt que sous le nom générique "OPTx".
  • IPv4 Configuration Type : sélectionnez "Static IPv4" pour définir une adresse IPv4 statique pour cette interface réseau logique.

Dans la section "Static IPv4 Configuration" de cette page, indiquez l'adresse IPv4 à utiliser et le masque de sous-réseau associé.
Dans notre cas, nous avons indiqué : 172.16.1.2 / 24.

Note : cela signifie que le sous-réseau utilisé pour les interfaces pfSync sera "172.16.1.x".

En bas de page, cliquez sur Save.

En haut de page, cliquez sur : Apply Changes.

L'interface PFSYNC de votre 1ère machine est activée et configurée.
Notez qu'il ne s'agit que de la configuration réseau de cette interface. Pas de la mise en place de la HA pour le moment.

2.3. Ajouter une interface logique pour pfSync sur la 2ème machine pfSense (esclave)

Sur la 2ème machine pfSense, faites la même chose.
Donc, allez dans "Interfaces -> Assignments" et assigner le nouveau port réseau (carte réseau physique) à une nouvelle interface logique (OPT1 dans ce cas-ci).
Ensuite, cliquez sur son nom pour modifier cette interface.

Comme précédemment, activez cette interface et renommez-la "PFSYNC".
Ensuite, choisissez de définir une adresse IPv4 statique (Static IPv4).

Cette fois-ci, nous indiquons "172.16.1.3" pour l'adresse IPv4 de cette interface et nous utilisons le même sous-réseau (/24) que sur la 1ère machine pfSense).
Ensuite, en bas de page, cliquez sur Save. Puis, sur "Apply Changes" en haut de page.

L'interface PFSYNC de votre 2ème machine pfSense est activée et configurée.

A voir également

Commentaires

Vous devez être connecté pour pouvoir poster un commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.