HOW TO CONFIG PFSENSE HIGH AVAILABILITY STEP BY STEP

CONFIG PFSENSE HIGH AVAIABLE

 

1./ Giới thiệu​​ 

Trong bài Lab này tôi sẽ​​ hướng dẫn cấu hình Firewall Pfsense chạy High Availability để​​ dự​​ phòng nếu 1 server Master bị​​ down thì server Slave sẽ​​ ngay lập​​ tức lên thay thế. (downtime 1 gói tin khi ping liên tục.)

 

Sau khi add thêm card LAN, mặc định card WAN sẽ​​ bị​​ khoá truy cập, chỉ​​ có thể​​ truy cập qua port LAN của pfsense (vậy mà không cảnh báo)

#https://docs.netgate.com/pfsense/en/latest/book/highavailability/example-redundant-configuration.html

Muốn truy cập qua WAN vào webadmin thì có thể​​ tạo rule như ảnh​​ dưới.

 

 

Hiện tại chưa có phần giao diện check status​​ ACTIVE - STANDBY​​ đã thành công => pfsense hơi tù. Do đó có thể​​ test bằng cách tạo 1 rule trên master sau đó chuyển sang slave xem rule nếu sync sang rồi thì không có lỗi.

 

Cu hình CARP​​ (Common Address Redundancy Protocol)

Link tham khảo về giao thức CARP

#https://en.wikipedia.org/wiki/Common_Address_Redundancy_Protocol

 

The Common Address Redundancy Protocol or CARP is a computer networking protocol which allows multiple hosts on the same local area network to share a set of IP addresses. Its primary purpose is to provide failover redundancy,​​ especially when used with firewalls and routers. In some configurations,​​ CARP can also provide load balancing functionality. CARP provides functionality similar to VRRP and to Cisco SystemsHSRP. It is implemented in several BSD-based operating systems and has been ported to Linux(ucarp).[1]

 

2./​​ Mô hình

 

3./ cài đặt

Setup Sync Interface

Cài đặt trên cả​​ FIREWALL​​ Active và Standby

Tạo sample rule allow port 443 và​​ port 80 trên cả​​ 2​​ FIREWALL​​ Active và standby.

 

Hoặc Tạo rule rất chặt thì như sau:

 

Configure pfsync

Cấu hình trên cả​​ 2​​ FIREWALL​​ A – S

State synchronization using pfsync must be configured on both the primary and secondary nodes to function.

First on the primary node and then on the secondary, perform the following:

  • Navigate to System > High Avail Sync

  • Check Synchronize States

  • Set Synchronize Interface to SYNC

  • Set pfsync Synchronize Peer IP to the other node. Set this to 172.16.1.3 when configuring the primary node, or 172.16.1.2 when configuring the secondary node

  • Click Save

 

 

 

Configure Configuration Synchronization (XML-RPC)

Lưu ý: chỉ​​ cấu hình trên​​ FIREWALL​​ Active

Password của user admin​​ FIREWALL​​ Standby

Sau khi cấu hình xong interface SYNC, test tạo rule trên​​ FIREWALL​​ active​​ nếu đồng bộ​​ được sang​​ FIREWALL​​ standby thì đã xong.

 

Configuring the CARP Virtual IPs

Chỉnh trọng số​​ skew để​​ lựa chọn server Firewall nào là master, lưu ý trọng số​​ bằng 0 luôn luôn là master, càng thấp càng ưu tiên làm master

 

 

Configure Outbound NAT for CARP

Ví dụ: Cấu hình cho 1 IP hoặc cả​​ dải IP Local được truy cập internet

 

Ví dụ​​ NAT 1-1

Allow 1-1 IP 10.0.2.100 trong LAN ra ngoài internet thông qua 1 vitural IP 10.0.1.23

Vitural IP cần được tạo trước khi NAT 11

Sau khi NAT 1-1 xong, để​​ remote và ping được cần tạo 2 rules sau