HOW TO CONFIG PFSENSE HIGH AVAILABILITY STEP BY STEP

CONFIG PFSENSE HIGH AVAIABLE

 

1./ Giới thiệu​​ 

Trong bài Lab này tôi sẽ​​ hướng dẫn cấu hình Firewall Pfsense chạy High Availability để​​ dự​​ phòng nếu 1 server Master bị​​ down thì server Slave sẽ​​ ngay lập​​ tức lên thay thế. (downtime 1 gói tin khi ping liên tục.)

 

Sau khi add thêm card LAN, mặc định card WAN sẽ​​ bị​​ khoá truy cập, chỉ​​ có thể​​ truy cập qua port LAN của pfsense (vậy mà không cảnh báo)

#https://docs.netgate.com/pfsense/en/latest/book/highavailability/example-redundant-configuration.html

Muốn truy cập qua WAN vào webadmin thì có thể​​ tạo rule như ảnh​​ dưới.

 

 

Hiện tại chưa có phần giao diện check status​​ ACTIVE - STANDBY​​ đã thành công => pfsense hơi tù. Do đó có thể​​ test bằng cách tạo 1 rule trên master sau đó chuyển sang slave xem rule nếu sync sang rồi thì không có lỗi.

 

Cu hình CARP​​ (Common Address Redundancy Protocol)

Link tham khảo về giao thức CARP

#https://en.wikipedia.org/wiki/Common_Address_Redundancy_Protocol

 

The Common Address Redundancy Protocol or CARP is a computer networking protocol which allows multiple hosts on the same local area network to share a set of IP addresses. Its primary purpose is to provide failover redundancy,​​ especially when used with firewalls and routers. In some configurations,​​ CARP can also provide load balancing functionality. CARP provides functionality similar to VRRP and to Cisco SystemsHSRP. It is implemented in several BSD-based operating systems and has been ported to Linux(ucarp).[1]

 

2./​​ Mô hình

 

3./ cài đặt

Setup Sync Interface

Cài đặt trên cả​​ FIREWALL​​ Active và Standby

Tạo sample rule allow port 443 và​​ port 80 trên cả​​ 2​​ FIREWALL​​ Active và standby.

 

Hoặc Tạo rule rất chặt thì như sau:

 

Configure pfsync

Cấu hình trên cả​​ 2​​ FIREWALL​​ A – S

State synchronization using pfsync must be configured on both the primary and secondary nodes to function.

First on the primary node and then on the secondary, perform the following:

  • Navigate to System > High Avail Sync

  • Check Synchronize States

  • Set Synchronize Interface to SYNC

  • Set pfsync Synchronize Peer IP to the other node. Set this to 172.16.1.3 when configuring the primary node, or 172.16.1.2 when configuring the secondary node

  • Click Save

 

 

 

Configure Configuration Synchronization (XML-RPC)

Lưu ý: chỉ​​ cấu hình trên​​ FIREWALL​​ Active

Password của user admin​​ FIREWALL​​ Standby

Sau khi cấu hình xong interface SYNC, test tạo rule trên​​ FIREWALL​​ active​​ nếu đồng bộ​​ được sang​​ FIREWALL​​ standby thì đã xong.

 

Configuring the CARP Virtual IPs

Chỉnh trọng số​​ skew để​​ lựa chọn server Firewall nào là master, lưu ý trọng số​​ bằng 0 luôn luôn là master, càng thấp càng ưu tiên làm master

 

 

Configure Outbound NAT for CARP

Ví dụ: Cấu hình cho 1 IP hoặc cả​​ dải IP Local được truy cập internet

 

Ví dụ​​ NAT 1-1

Allow 1-1 IP 10.0.2.100 trong LAN ra ngoài internet thông qua 1 vitural IP 10.0.1.23

Vitural IP cần được tạo trước khi NAT 11

Sau khi NAT 1-1 xong, để​​ remote và ping được cần tạo 2 rules sau

Rule mở​​ remote 3389 thì apply rất nhanh, nhưng rule allow ping thì khá lâu khi muốn deny ping, chỉ​​ mở​​ ping thì rất nhanh.

Tạo rule allow từ​​ outsite truy cập ping và remote vào inside

RULE LAN

RULE SYNC

 

4./​​ Lưu ý:

  • Update​​ timezone chuẩn GMT+7 trong system /general setup

  • Đã test high Avaiblity xong chỉ​​ rớt 1-2 gói tin (version mới nhất pfsense 2.4.4-p3)

  • Để​​ tạo rule apply cho tất cả​​ interface sử​​ dụng Floating trong Firewall/Rule/Floating

  • Disable update trên pfsense (có thể​​ gây reboot​​ FIREWALL​​ rất nguy hiểm)

 

chúc các bạn thành công, nếu gặp vấn đề gì trong cấu hình hãy comment ở bên dưới.

SaKuRai

Xin chào, Mình là Sakurai. Blog này là nơi để note lại và chia sẻ những kiến thức, kinh nghiệm mà mình và anh em trong Team. Cảm ơn các bạn đã quan tâm theo dõi!

You may also like...

Leave a Reply