Criando cluster com o PFSense

Autor: Leonardo Damasceno <damasceno.lnx at gmail.com> Data: 15/12/2009 Introduo Criaremos uma redundncia no PFSense, mas antes disso vamos ver o que necessrio para isso: Duas mquinas com PFSense Trs placas de rede para cada mquina Cinco cabos de rede Switch para LAN

Se voc tem tudo isso, podemos comear o planejamento. Teremos duas mquinas com PFSense, onde as duas so "iguais", com as mesmas regras, ou seja, basta fazer o backup e restaurar na outra mquina. Sincronizaremos os dois PFSenses, definindo quem ser o master e quem ser o backup, ou seja, ser passado um cabo do PFSense Master para o PFSense Backup, quando um falhar, o outro assume, fazendo FailOver. A questo do cluster ser configurada no menu CARP, em Firewall > Virtual IP. Ento vamos ver como ficaria o fluxograma:

Criando CARP Cluster

Vamos criar a interface SYNC, que ser a nossa interface de sincronizao entre os dois firewalls, acesse: Interface>OPT1 Uma pergunta bsica que sempre me fazem: "Por que OPT1?" O PFSense, assume duas interfaces, WAN e LAN, aps isso, viro: OPT1, OPT2, OPT3... Mas no se preocupe porque voc pode e vai modificar esse nome para SYNC. Quando acessado o menu Interfaces, na opo OPT1 voc dever deixar a tela igual a essa:

Note que em "Description" est "SYNC", para voc provavelmente estar "OPT1". Ento modifique conforme na imagem e em "IP address" defina o IP e a mscara de rede, no meu caso estou usando 192.168.3.1/24. Esse ser o IP/Mscara da minha interface, que agora tem o nome de "SYNC". Aps alterar, clique em Save e depois confirme a sua alterao, clicando em "APPLY CHANGES". Agora vamos criar uma regra para que todo o trfego nessa interface, que tem a origem de PFSense Master e destino de PFSense Backup, seja liberado. Clique em Firewall > Rules. Selecione a aba SYNC e clique no "+" para adicionar uma nova regra, dessa maneira:

Aps clicar no boto "+", vamos adicionar a regra com a seguinte configurao: Action - PASS (a regra para acesso, ou seja, PASS. Caso a regra fosse para bloqueio, usaramos BLOCK ou REJECT) Disabled - null (ou seja, no marque essa opo) Interface - SYNC (pois estamos aplicando essa regra na interface SYNC) Protocol - TCP (o protocolo para a comunicao usado o TCP/IP) Source - Selecione em "Type" a opo "ANY", clique em Advanced e selecione "ANY" tambm. Source OS - Any Destination - Selecione em "Type" a opo "ANY", clique em Advanced, e selecione "ANY" tambm. Destination port range - Any (estando para "From", quanto para "To")

Agora v ao final da pgina e coloque a descrio em "Description": Description - Sincronizao FW LEFT -> FW RIGHT (onde FW Left o meu Master, o firewall que estou alterando agora e Right ser o meu Backup)

Veja no exemplo:

Pronto, basta clicar em "Save" e depois aplicar as modificaes clicando em "Apply changes", como nessa imagem: Agora faa o mesmo para o firewall Right, ou seja, o firewall Backup. Modifique o nome da interface, adicione a mesma regra. Aps consultar as regras existentes na interface SYNC, deve ficar assim:

Ainda no firewall backup, vamos clicar na opo Firewall > Virtual IPs e acessar a aba "CARP Settings". Faa apenas duas modificaes: Synchronize Enabled - Marque essa opo Synchronize Interface - Selecione "SYNC"

Depois clique em "SAVE" ao final da pgina. Vamos voltar ao firewall Master e fazer o mesmo procedimento, mas com algumas alteraes. V ao menu Firewall > Virtual IPs e acesse a aba "CARP Settings", agora marque e selecione algumas opes: Synchronize Enabled - Marque essa opo Synchronize Interface - Selecione "SYNC" Synchronize rules- Marque essa opo Synchronize NAT - Marque essa opo Synchronize Virtual IPs - Marque essa opo

Synchronize to IP - Coloque o IP que foi definido na interface SYNC do Firewall BACKUP Remote System Password - Vamos utilizar o password "teste"

Clique em "SAVE".

Finalizando a configurao V para a aba "Virtual IPs" e clique no boto "+" para adicionar uma nova regra. Vamos ver um exemplo de configurao:

Vou explicar as opes selecionadas/marcadas: CARP - Escolhemos essa opo pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP INTERFACE - Escolhemos WAN pois nessa interface que vamos trabalhar agora e depois na interface local (LAN) IP Address(es) - Nessa opo voc vai digitar apenas o IP real da WAN e sua mscara Virtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste" VHID Group - Escolha a opo "1", j que a nosso primeiro CARP-Group Advertising Frequency - Essa opo vai determinar qual sistema vai se tornar "Master" colocando o menor valor, ento vamos deixar "0" j que estamos configurando o Firewall "Master" Description - Aqui vamos colocar uma descrio, no meu caso coloquei "CARP-WAN"

Clique em "SAVE". Ainda no "Master", vamos adicionar mais um Virtual IP, para a LAN: CARP - Escolhemos essa opo pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP INTERFACE - Escolhemos LAN IP Address(es) - Nessa opo voc vai digitar apenas o IP da LAN, esse IP no pode estar em uso, e tambm escolha a mscara Virtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste" VHID Group - Escolha a opo "2" Advertising Frequency - Escolha "0" Description - Aqui vamos colocar uma descrio, eu utilizei "CARP-LAN"

Clique em "SAVE". Obs.: No esquea de confirmar qualquer alterao feita clicando em "Apply Changes". Agora v ao PFSense "Backup" ou "Right", como queira chamar. Clique em Status > CARP (FailOver). Se voc fez tudo certo, e seu firewall principal est rodando de forma correta, no firewall "backup" deve aparecer algo

como:

Volte para o firewall principal e vamos terminar de configurar. Clique em Firewall > NAT; V at a aba "OutBound". Marque a opo "Enable advanced outbound NAT" e clique em "SAVE". Note que o PFSense cria uma regra default, vamos edit-la. Clique no "e" ao lado da regra para editar. Vamos deixar assim:

No NAT (NOT) - No marque essa opo Interface - WAN Source - Em "Type" selecione "Network", em "Address" coloque o endereo da sua rede, por exemplo 10.50.25.0 e mscara 23 Destination - Em "Type" selecione "Any" Translation - Em "Address" selecione o IP da WAN onde tem ao lado (CARP-WAN ou WAN-CARP, depende de como voc definiu) Description - Coloque a descrio e clique em SAVE

Ainda no Firewall Master, clique em Services > DHCP Server. Em "Failover peer IP", coloque o IP do servidor backup. Agora, no firewall backup, tambm em "Services > DHCP Server", v at "Failover peer IP" e coloque o IP do servidor Master, depois clique em "SAVE".

http://www.vivaolinux.com.br/artigo/Criando-cluster-com-o-PFSense Voltar para o site