Criando cluster com o PFSense

Autor: Leonardo Damasceno <damasceno.lnx at gmail.com>

Introdução

Criaremos uma redundância no PFSense, mas antes disso vamos ver o que é necessário para isso:

  • Duas máquinas com PFSense
  • Três placas de rede para cada máquina
  • Cinco cabos de rede
  • Switch para LAN

Se você tem tudo isso, podemos começar o planejamento. Teremos duas
máquinas com PFSense, onde as duas são "iguais", com as mesmas regras,
ou seja, basta fazer o backup e restaurar na outra máquina.

Sincronizaremos os dois PFSenses, definindo quem será o master
e quem será o backup, ou seja, será passado um cabo do PFSense Master
para o PFSense Backup, quando um falhar, o outro assume, fazendo
FailOver.

A questão do cluster será configurada no menu CARP, em Firewall > Virtual IP.

Então vamos ver como ficaria o fluxograma:

Linux: Criando Cluster com o PFSense

Criando CARP Cluster

Vamos criar a interface SYNC, que será a nossa interface de sincronização entre os dois firewalls, acesse:

Interface>OPT1

Uma pergunta básica que sempre me fazem: "Por que OPT1?"

O PFSense, assume duas interfaces, WAN e LAN, após isso, virão:
OPT1, OPT2, OPT3… Mas não se preocupe porque você pode e vai
modificar esse nome para SYNC.

Quando acessado o menu Interfaces, na opção OPT1 você deverá deixar a tela igual a essa:

Linux: Criando Cluster com o PFSense

Note
que em "Description" está "SYNC", para você provavelmente estará
"OPT1". Então modifique conforme na imagem e em "IP address" defina o
IP e a máscara de rede, no meu caso estou usando 192.168.3.1/24. Esse
será o IP/Máscara da minha interface, que agora tem o nome de "SYNC".

Após alterar, clique em Save e depois confirme a sua alteração, clicando em "APPLY CHANGES".

Agora vamos criar uma regra para que todo o tráfego nessa
interface, que tem a origem de PFSense Master e destino de PFSense
Backup, seja liberado.

Clique em Firewall > Rules. Selecione a aba SYNC e clique no "+" para adicionar uma nova regra, dessa maneira:

Linux: Criando Cluster com o PFSense

Após clicar no botão "+", vamos adicionar a regra com a seguinte configuração:

  • Action – PASS (a regra é para acesso, ou seja, PASS. Caso a regra fosse para bloqueio, usaríamos BLOCK ou REJECT)
  • Disabled – null (ou seja, não marque essa opção)
  • Interface – SYNC (pois estamos aplicando essa regra na interface SYNC)
  • Protocol – TCP (o protocolo para a comunicação usado é o TCP/IP)
  • Source – Selecione em "Type" a opção "ANY", clique em Advanced e selecione "ANY" também.
  • Source OS – Any
  • Destination – Selecione em "Type" a opção "ANY", clique em Advanced, e selecione "ANY" também.
  • Destination port range – Any (estando para "From", quanto para "To")

Agora vá ao final da página e coloque a descrição em "Description":

Description – Sincronização FW LEFT -> FW RIGHT (onde FW
Left é o meu Master, o firewall que estou alterando agora e Right será
o meu Backup)

Veja no exemplo:

Linux: Criando Cluster com o PFSense

Pronto, basta clicar em "Save" e depois aplicar as modificações clicando em "Apply changes", como nessa imagem:

Linux: Criando Cluster com o PFSense

Agora faça o mesmo para o firewall Right, ou seja, o firewall Backup. Modifique o nome da interface, adicione a mesma regra.

Após consultar as regras existentes na interface SYNC, deve ficar assim:

Linux: Criando Cluster com o PFSense

Ainda
no firewall backup, vamos clicar na opção Firewall > Virtual IPs e
acessar a aba "CARP Settings". Faça apenas duas modificações:

  • Synchronize Enabled – Marque essa opção
  • Synchronize Interface – Selecione "SYNC"

Depois clique em "SAVE" ao final da página.

Vamos voltar ao firewall Master e fazer o mesmo procedimento, mas com algumas alterações.

Vá ao menu Firewall > Virtual IPs e acesse a aba "CARP Settings", agora marque e selecione algumas opções:

  • Synchronize Enabled – Marque essa opção
  • Synchronize Interface – Selecione "SYNC"
  • Synchronize rules- Marque essa opção
  • Synchronize NAT – Marque essa opção
  • Synchronize Virtual IPs – Marque essa opção
  • Synchronize to IP – Coloque o IP que foi definido na interface SYNC do Firewall BACKUP
  • Remote System Password – Vamos utilizar o password "teste"

Clique em "SAVE".

Finalizando a configuração

Vá para a aba "Virtual IPs" e clique no botão "+" para adicionar uma nova regra.

Vamos ver um exemplo de configuração:

Linux: Criando Cluster com o PFSense

Vou explicar as opções selecionadas/marcadas:

  • CARP – Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP
  • INTERFACE – Escolhemos WAN pois é nessa interface que vamos trabalhar agora e depois na interface local (LAN)
  • IP Address(es) – Nessa opção você vai digitar apenas o IP real da WAN e sua máscara
  • Virtual IP Password – No nosso caso vamos utilizar mais uma vez a senha "teste"
  • VHID Group – Escolha a opção "1", já que é a nosso primeiro CARP-Group
  • Advertising Frequency – Essa opção vai determinar qual
    sistema vai se tornar "Master" colocando o menor valor, então vamos
    deixar "0" já que estamos configurando o Firewall "Master"
  • Description – Aqui vamos colocar uma descrição, no meu caso coloquei "CARP-WAN"

Clique em "SAVE".

Ainda no "Master", vamos adicionar mais um Virtual IP, para a LAN:

  • CARP – Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP
  • INTERFACE – Escolhemos LAN
  • IP Address(es) – Nessa opção você vai digitar apenas o IP da LAN, esse IP não pode estar em uso, e também escolha a máscara
  • Virtual IP Password – No nosso caso vamos utilizar mais uma vez a senha "teste"
  • VHID Group – Escolha a opção "2"
  • Advertising Frequency – Escolha "0"
  • Description – Aqui vamos colocar uma descrição, eu utilizei "CARP-LAN"

Clique em "SAVE".

Obs.: Não esqueça de confirmar qualquer alteração feita clicando em "Apply Changes".

Agora vá ao PFSense "Backup" ou "Right", como queira chamar.

Clique em Status > CARP (FailOver).

Se você fez tudo certo, e seu firewall principal está rodando de forma correta, no firewall "backup" deve aparecer algo como:

Linux: Criando Cluster com o PFSense

Volte para o firewall principal e vamos terminar de configurar.

Clique em Firewall > NAT;

Vá até a aba "OutBound".

Marque a opção "Enable advanced outbound NAT" e clique em "SAVE".

Note que o PFSense cria uma regra default, vamos editá-la. Clique no "e" ao lado da regra para editar.

Vamos deixar assim:

Linux: Criando Cluster com o PFSense
  • No NAT (NOT) – Não marque essa opção
  • Interface – WAN
  • Source – Em "Type" selecione "Network", em "Address" coloque o endereço da sua rede, por exemplo 10.50.25.0 e máscara 23
  • Destination – Em "Type" selecione "Any"
  • Translation – Em "Address" selecione o IP da WAN onde tem ao lado (CARP-WAN ou WAN-CARP, depende de como você definiu)
  • Description – Coloque a descrição e clique em SAVE

Ainda no Firewall Master, clique em Services > DHCP Server. Em "Failover peer IP", coloque o IP do servidor backup.

Agora, no firewall backup, também em "Services > DHCP
Server", vá até "Failover peer IP" e coloque o IP do servidor Master,
depois clique em "SAVE".


http://www.vivaolinux.com.br/artigo/Criando-cluster-com-o-PFSense

2 comentários sobre “Criando cluster com o PFSense

  1. Cara você sabe o que acontece se queimar somente a interface de wan do firewall primario, pelos testes que fiz aqui o firewall continua como primario comprometendo toda a rede.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s