On lundi 10 avril 2017 11 h 20 min 50 s CEST Tactical butterflyop wrote:
Bonjour,
j'aurais besoin de conseils pour un soucis concernant une redondance physique pfsense avec CARP.
La boite dans laquelle je travaille n'avait qu'un firewall sous pfsense, j'ai donc proposé de faire un firewall slave pour redonder celui ci en cas de problème.
J'ai donc remis un place un second pfsense à l'identique du premier (ou presque). Des interfaces CARP ont été déclarées sur toutes les interfaces des firewall, j'ai réussi à faire fonctionner la synchronisation des firewall, et le slave est bien en statut backup sur toutes les interfaces. Enfin, toutes sauf pour le WAN...
Je n'arrive pas à trouver pourquoi la CARP sur l'interface WAN ne fonctionne pas correctement, mais je ne peux pas tester avec le firewall slave branché car celui ci se déclare MASTER en WAN, sans possibilité d'accèder à internet (alors qu'il le devrait), et fait planter tout notre réseau.
La CARP sur la partie WAN est déclarée sur une IP de type réseau privé, l'interface WAN possède quand à elle l'IP publique de la boite.
On a aussi des alias d'interface sur l'interface WAN qui correspondent aux deux autres IP publiques de la boite.
Lors de mes précédents tests, brancher les deux firewall a eu pour effet de faire planter tout le réseau (plus d'accès à internet), et les alias d'interfaces ont plantés, redant inaccessible des sites web clients (on utilise les ip publiques pour faire du port forwarding selon les services en gros)
Quelqu'un aurait des conseils, des retours d'expérience ou une piste que je pourrais explorer? je suis à court d'idées
Salut,
On dirait que les deux firewall ne se voient pas sur le WAN. Si tu fait un tcpdump sur le second (sans configurer le carp dessus pour qu'il ne devienne pas master), est-ce que tu vois bien le multicast carp du premier firewall ?
Si tu vois bien le carp, est-ce que tu as bien la même configuration sur le carp (même password, même demote (ou demote inférieur sur le premier), même ordre pour définir les alias) ?