HOW TO CONFIG PFSENSE HIGH AVAILABILITY STEP BY STEP

CONFIG PFSENSE HIGH AVAIABLE

1./ Giới thiệu​​ 

Trong bài Lab này tôi sẽ​​ hướng dẫn cấu hình Firewall Pfsense chạy High Availability để​​ dự​​ phòng nếu 1 server Master bị​​ down thì server Slave sẽ​​ ngay lập​​ tức lên thay thế. (downtime 1 gói tin khi ping liên tục.)

Sau khi add thêm card LAN, mặc định card WAN sẽ​​ bị​​ khoá truy cập, chỉ​​ có thể​​ truy cập qua port LAN của pfsense (vậy mà không cảnh báo)

#https://docs.netgate.com/pfsense/en/latest/book/highavailability/example-redundant-configuration.html

Muốn truy cập qua WAN vào webadmin thì có thể​​ tạo rule như ảnh​​ dưới.

Hiện tại chưa có phần giao diện check status​​ ACTIVE - STANDBY​​ đã thành công => pfsense hơi tù. Do đó có thể​​ test bằng cách tạo 1 rule trên master sau đó chuyển sang slave xem rule nếu sync sang rồi thì không có lỗi.

Cấu hình CARP​​ (Common Address Redundancy Protocol)

Link tham khảo về giao thức CARP

#https://en.wikipedia.org/wiki/Common_Address_Redundancy_Protocol

The Common Address Redundancy Protocol or CARP is a computer networking protocol which allows multiple hosts on the same local area network to share a set of IP addresses. Its primary purpose is to provide failover redundancy,​​ especially when used with firewalls and routers. In some configurations,​​ CARP can also provide load balancing functionality. CARP provides functionality similar to VRRP and to Cisco Systems' HSRP. It is implemented in several BSD-based operating systems and has been ported to Linux(ucarp).[1]

2./​​ Mô hình

3./ cài đặt

Setup Sync Interface

Cài đặt trên cả​​ FIREWALL​​ Active và Standby

Tạo sample rule allow port 443 và​​ port 80 trên cả​​ 2​​ FIREWALL​​ Active và standby.

Hoặc Tạo rule rất chặt thì như sau:

Configure pfsync

Cấu hình trên cả​​ 2​​ FIREWALL​​ A – S

State synchronization using pfsync must be configured on both the primary and secondary nodes to function.

First on the primary node and then on the secondary, perform the following:

• Navigate to System > High Avail Sync

• Check Synchronize States

• Set Synchronize Interface to SYNC

• Set pfsync Synchronize Peer IP to the other node. Set this to 172.16.1.3 when configuring the primary node, or 172.16.1.2 when configuring the secondary node

• Click Save

Configure Configuration Synchronization (XML-RPC)

Lưu ý: chỉ​​ cấu hình trên​​ FIREWALL​​ Active

Password của user admin​​ FIREWALL​​ Standby

Sau khi cấu hình xong interface SYNC, test tạo rule trên​​ FIREWALL​​ active​​ nếu đồng bộ​​ được sang​​ FIREWALL​​ standby thì đã xong.

Configuring the CARP Virtual IPs

Chỉnh trọng số​​ skew để​​ lựa chọn server Firewall nào là master, lưu ý trọng số​​ bằng 0 luôn luôn là master, càng thấp càng ưu tiên làm master

Configure Outbound NAT for CARP

Ví dụ: Cấu hình cho 1 IP hoặc cả​​ dải IP Local được truy cập internet

Ví dụ​​ NAT 1-1

Allow 1-1 IP 10.0.2.100 trong LAN ra ngoài internet thông qua 1 vitural IP 10.0.1.23

Vitural IP cần được tạo trước khi NAT 11

Sau khi NAT 1-1 xong, để​​ remote và ping được cần tạo 2 rules sau

Rule mở​​ remote 3389 thì apply rất nhanh, nhưng rule allow ping thì khá lâu khi muốn deny ping, chỉ​​ mở​​ ping thì rất nhanh.

Tạo rule allow từ​​ outsite truy cập ping và remote vào inside

RULE LAN

RULE SYNC

4./​​ Lưu ý:

• Update​​ timezone chuẩn GMT+7 trong system /general setup

• Đã test high Avaiblity xong chỉ​​ rớt 1-2 gói tin (version mới nhất pfsense 2.4.4-p3)

• Để​​ tạo rule apply cho tất cả​​ interface sử​​ dụng Floating trong Firewall/Rule/Floating

• Disable update trên pfsense (có thể​​ gây reboot​​ FIREWALL​​ rất nguy hiểm)

chúc các bạn thành công, nếu gặp vấn đề gì trong cấu hình hãy comment ở bên dưới.