criando cluster com o pfsense [artigo]
TRANSCRIPT
![Page 1: Criando Cluster Com o PFSense [Artigo]](https://reader039.vdocuments.com.br/reader039/viewer/2022020219/55cf9c90550346d033aa41bc/html5/page/1.jpg)
Criando cluster com o PFSense
Autor: Leonardo Damasceno <damasceno.lnx at gmail.com>Data: 15/12/2009
Introdução
Criaremos uma redundância no PFSense, mas antes disso vamos ver o que é necessário para isso:
Duas máquinas com PFSenseTrês placas de rede para cada máquinaCinco cabos de redeSwitch para LAN
Se você tem tudo isso, podemos começar o planejamento. Teremos duas máquinas com PFSense, onde as duas são"iguais", com as mesmas regras, ou seja, basta fazer o backup e restaurar na outra máquina.
Sincronizaremos os dois PFSenses, definindo quem será o master e quem será o backup, ou seja, será passado um cabodo PFSense Master para o PFSense Backup, quando um falhar, o outro assume, fazendo FailOver.
A questão do cluster será configurada no menu CARP, em Firewall > Virtual IP.
Então vamos ver como ficaria o fluxograma:
![Page 2: Criando Cluster Com o PFSense [Artigo]](https://reader039.vdocuments.com.br/reader039/viewer/2022020219/55cf9c90550346d033aa41bc/html5/page/2.jpg)
Criando CARP ClusterVamos criar a interface SYNC, que será a nossa interface de sincronização entre os dois firewalls, acesse:
Interface>OPT1
Uma pergunta básica que sempre me fazem: "Por que OPT1?"
O PFSense, assume duas interfaces, WAN e LAN, após isso, virão: OPT1, OPT2, OPT3... Mas não se preocupe porquevocê pode e vai modificar esse nome para SYNC.
Quando acessado o menu Interfaces, na opção OPT1 você deverá deixar a tela igual a essa:
![Page 3: Criando Cluster Com o PFSense [Artigo]](https://reader039.vdocuments.com.br/reader039/viewer/2022020219/55cf9c90550346d033aa41bc/html5/page/3.jpg)
Note que em "Description" está "SYNC", para você provavelmente estará "OPT1". Então modifique conforme naimagem e em "IP address" defina o IP e a máscara de rede, no meu caso estou usando 192.168.3.1/24. Esse será oIP/Máscara da minha interface, que agora tem o nome de "SYNC".
Após alterar, clique em Save e depois confirme a sua alteração, clicando em "APPLY CHANGES".
Agora vamos criar uma regra para que todo o tráfego nessa interface, que tem a origem de PFSense Master e destino dePFSense Backup, seja liberado.
Clique em Firewall > Rules. Selecione a aba SYNC e clique no "+" para adicionar uma nova regra, dessa maneira:
Após clicar no botão "+", vamos adicionar a regra com a seguinte configuração:
Action - PASS (a regra é para acesso, ou seja, PASS. Caso a regra fosse para bloqueio, usaríamos BLOCK ouREJECT)Disabled - null (ou seja, não marque essa opção)Interface - SYNC (pois estamos aplicando essa regra na interface SYNC)Protocol - TCP (o protocolo para a comunicação usado é o TCP/IP)Source - Selecione em "Type" a opção "ANY", clique em Advanced e selecione "ANY" também.Source OS - AnyDestination - Selecione em "Type" a opção "ANY", clique em Advanced, e selecione "ANY" também.Destination port range - Any (estando para "From", quanto para "To")
Agora vá ao final da página e coloque a descrição em "Description":
Description - Sincronização FW LEFT -> FW RIGHT (onde FW Left é o meu Master, o firewall que estou alterandoagora e Right será o meu Backup)
![Page 4: Criando Cluster Com o PFSense [Artigo]](https://reader039.vdocuments.com.br/reader039/viewer/2022020219/55cf9c90550346d033aa41bc/html5/page/4.jpg)
Veja no exemplo:
Pronto, basta clicar em "Save" e depois aplicar as modificações clicando em "Apply changes", como nessa imagem:
Agora faça o mesmo para o firewall Right, ou seja, o firewall Backup. Modifique o nome da interface, adicione a mesmaregra.
Após consultar as regras existentes na interface SYNC, deve ficar assim:
Ainda no firewall backup, vamos clicar na opção Firewall > Virtual IPs e acessar a aba "CARP Settings". Faça apenasduas modificações:
Synchronize Enabled - Marque essa opçãoSynchronize Interface - Selecione "SYNC"
Depois clique em "SAVE" ao final da página.
Vamos voltar ao firewall Master e fazer o mesmo procedimento, mas com algumas alterações.
Vá ao menu Firewall > Virtual IPs e acesse a aba "CARP Settings", agora marque e selecione algumas opções:
Synchronize Enabled - Marque essa opçãoSynchronize Interface - Selecione "SYNC"Synchronize rules- Marque essa opçãoSynchronize NAT - Marque essa opçãoSynchronize Virtual IPs - Marque essa opção
![Page 5: Criando Cluster Com o PFSense [Artigo]](https://reader039.vdocuments.com.br/reader039/viewer/2022020219/55cf9c90550346d033aa41bc/html5/page/5.jpg)
Synchronize to IP - Coloque o IP que foi definido na interface SYNC do Firewall BACKUPRemote System Password - Vamos utilizar o password "teste"
Clique em "SAVE".
Finalizando a configuração
Vá para a aba "Virtual IPs" e clique no botão "+" para adicionar uma nova regra.
Vamos ver um exemplo de configuração:
Vou explicar as opções selecionadas/marcadas:
CARP - Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER eBACKUPINTERFACE - Escolhemos WAN pois é nessa interface que vamos trabalhar agora e depois na interface local(LAN)IP Address(es) - Nessa opção você vai digitar apenas o IP real da WAN e sua máscaraVirtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste"VHID Group - Escolha a opção "1", já que é a nosso primeiro CARP-GroupAdvertising Frequency - Essa opção vai determinar qual sistema vai se tornar "Master" colocando o menor valor,então vamos deixar "0" já que estamos configurando o Firewall "Master"Description - Aqui vamos colocar uma descrição, no meu caso coloquei "CARP-WAN"
Clique em "SAVE".
Ainda no "Master", vamos adicionar mais um Virtual IP, para a LAN:
CARP - Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER eBACKUPINTERFACE - Escolhemos LANIP Address(es) - Nessa opção você vai digitar apenas o IP da LAN, esse IP não pode estar em uso, e tambémescolha a máscaraVirtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste"VHID Group - Escolha a opção "2"Advertising Frequency - Escolha "0"Description - Aqui vamos colocar uma descrição, eu utilizei "CARP-LAN"
Clique em "SAVE".
Obs.: Não esqueça de confirmar qualquer alteração feita clicando em "Apply Changes".
Agora vá ao PFSense "Backup" ou "Right", como queira chamar.
Clique em Status > CARP (FailOver).
Se você fez tudo certo, e seu firewall principal está rodando de forma correta, no firewall "backup" deve aparecer algo
![Page 6: Criando Cluster Com o PFSense [Artigo]](https://reader039.vdocuments.com.br/reader039/viewer/2022020219/55cf9c90550346d033aa41bc/html5/page/6.jpg)
como:
Volte para o firewall principal e vamos terminar de configurar.
Clique em Firewall > NAT;
Vá até a aba "OutBound".
Marque a opção "Enable advanced outbound NAT" e clique em "SAVE".
Note que o PFSense cria uma regra default, vamos editá-la. Clique no "e" ao lado da regra para editar.
Vamos deixar assim:
No NAT (NOT) - Não marque essa opçãoInterface - WANSource - Em "Type" selecione "Network", em "Address" coloque o endereço da sua rede, por exemplo 10.50.25.0e máscara 23Destination - Em "Type" selecione "Any"Translation - Em "Address" selecione o IP da WAN onde tem ao lado (CARP-WAN ou WAN-CARP, depende decomo você definiu)Description - Coloque a descrição e clique em SAVE
Ainda no Firewall Master, clique em Services > DHCP Server. Em "Failover peer IP", coloque o IP do servidor backup.
Agora, no firewall backup, também em "Services > DHCP Server", vá até "Failover peer IP" e coloque o IP do servidorMaster, depois clique em "SAVE".
![Page 7: Criando Cluster Com o PFSense [Artigo]](https://reader039.vdocuments.com.br/reader039/viewer/2022020219/55cf9c90550346d033aa41bc/html5/page/7.jpg)
http://www.vivaolinux.com.br/artigo/Criando-cluster-com-o-PFSense
Voltar para o site