HOW TO CONFIG PFSENSE HIGH AVAILABILITY STEP BY STEP
CONFIG PFSENSE HIGH AVAIABLE
1./ Giới thiệu
Trong bài Lab này tôi sẽ hướng dẫn cấu hình Firewall Pfsense chạy High Availability để dự phòng nếu 1 server Master bị down thì server Slave sẽ ngay lập tức lên thay thế. (downtime 1 gói tin khi ping liên tục.)
Sau khi add thêm card LAN, mặc định card WAN sẽ bị khoá truy cập, chỉ có thể truy cập qua port LAN của pfsense (vậy mà không cảnh báo)
Muốn truy cập qua WAN vào webadmin thì có thể tạo rule như ảnh dưới.
Hiện tại chưa có phần giao diện check status ACTIVE - STANDBY đã thành công => pfsense hơi tù. Do đó có thể test bằng cách tạo 1 rule trên master sau đó chuyển sang slave xem rule nếu sync sang rồi thì không có lỗi.
Cấu hình CARP (Common Address Redundancy Protocol)
Link tham khảo về giao thức CARP
#https://en.wikipedia.org/wiki/Common_Address_Redundancy_Protocol
The Common Address Redundancy Protocol or CARP is a computer networking protocol which allows multiple hosts on the same local area network to share a set of IP addresses. Its primary purpose is to provide failover redundancy, especially when used with firewalls and routers. In some configurations, CARP can also provide load balancing functionality. CARP provides functionality similar to VRRP and to Cisco Systems' HSRP. It is implemented in several BSD-based operating systems and has been ported to Linux(ucarp).[1]
2./ Mô hình
3./ cài đặt
Setup Sync Interface
Cài đặt trên cả FIREWALL Active và Standby
Tạo sample rule allow port 443 và port 80 trên cả 2 FIREWALL Active và standby.
Hoặc Tạo rule rất chặt thì như sau:
Configure pfsync
Cấu hình trên cả 2 FIREWALL A – S
State synchronization using pfsync must be configured on both the primary and secondary nodes to function.
First on the primary node and then on the secondary, perform the following:
Navigate to System > High Avail Sync
Check Synchronize States
Set Synchronize Interface to SYNC
Set pfsync Synchronize Peer IP to the other node. Set this to 172.16.1.3 when configuring the primary node, or 172.16.1.2 when configuring the secondary node
Click Save
Configure Configuration Synchronization (XML-RPC)
Lưu ý: chỉ cấu hình trên FIREWALL Active
Password của user admin FIREWALL Standby
Sau khi cấu hình xong interface SYNC, test tạo rule trên FIREWALL active nếu đồng bộ được sang FIREWALL standby thì đã xong.
Configuring the CARP Virtual IPs
Chỉnh trọng số skew để lựa chọn server Firewall nào là master, lưu ý trọng số bằng 0 luôn luôn là master, càng thấp càng ưu tiên làm master
Configure Outbound NAT for CARP
Ví dụ: Cấu hình cho 1 IP hoặc cả dải IP Local được truy cập internet
Ví dụ NAT 1-1
Allow 1-1 IP 10.0.2.100 trong LAN ra ngoài internet thông qua 1 vitural IP 10.0.1.23
Vitural IP cần được tạo trước khi NAT 11
Sau khi NAT 1-1 xong, để remote và ping được cần tạo 2 rules sau
Rule mở remote 3389 thì apply rất nhanh, nhưng rule allow ping thì khá lâu khi muốn deny ping, chỉ mở ping thì rất nhanh.
Tạo rule allow từ outsite truy cập ping và remote vào inside
RULE LAN
RULE SYNC
4./ Lưu ý:
Update timezone chuẩn GMT+7 trong system /general setup
Đã test high Avaiblity xong chỉ rớt 1-2 gói tin (version mới nhất pfsense 2.4.4-p3)
Để tạo rule apply cho tất cả interface sử dụng Floating trong Firewall/Rule/Floating
Disable update trên pfsense (có thể gây reboot FIREWALL rất nguy hiểm)
chúc các bạn thành công, nếu gặp vấn đề gì trong cấu hình hãy comment ở bên dưới.