Plan du site  
pixel
pixel

Articles - Étudiants SUPINFO

Haute disponibilité de routeurs PfSense

Par Stephen LAMBERT Publié le 31/10/2016 à 23:08:09 Noter cet article:
(0 votes)
Avis favorable du comité de lecture

Présentation :

Le rôle d’un cluster de Fail-Over (aussi appelé cluster d’haute disponibilité) est de maintenir la disponibilité d’un service.

Dans ce tutoriel nous allons mettre en place un cluster de Fail-Over entre deux routeurs/firewall PfSense.

Ceci permettra, si l’un des routeurs venait à planter, de maintenir l’accès entre deux réseaux. (Le LAN qui est le réseau local et WAN qui est le réseau internet dans notre cas).

Architecture :

Pour la mise en place de notre infrastructure, nous aurons besoin de deux machines sous PfSense (VMs dans mon cas) disposant chacune de trois cartes réseau.

Mon premier PfSense (Maître/Master) aura la configuration suivante :

- WAN : 10.0.0.253

- LAN : 192.168.0.253

- OPT1(interface de synchronisation) : 192.168.100.253

Mon deuxième PfSense (Esclave/Slave) :

- WAN : 10.0.0.254

- LAN : 192.168.1.254

- OPT1(interface de synchronisation) : 192.168.100.254

Je vous expliquerai en temps voulu l’interface de synchronisation.

Ci-dessous un plan de notre architecture avant la configuration :

Vous pouvez remarquer que pour le moment si l’on voulait faire transiter des paquets du réseau LAN vers le WAN ou inversement on devrait choisir l’un ou l’autre de nos routeurs. Mais si le routeur choisi venait à tomber la continuité du service serait interrompue.

Un plan de notre architecture une fois le cluster de Fail-Over en place :

Maintenant avec cette configuration, nous avons à notre disposition une interface virtuelle LAN et une WAN représentant notre cluster. Si l’un de nos routeurs venait à tomber le second prendrait le relai et assurerait la continuité du service.

Passons maintenant à la mise en place.

Configuration : Sur notre premier PfSense (notre Maître/Master)

1. Pour commencer, connectez-vous à l’interface web de votre premier PfSense (serveur), 192.168.1.253 dans mon cas. (Par défaut login : admin | password : pfsense)

2. Je n’ai pas encore configuré l’interface dédiée à la synchronisation (seules les interfaces LAN et WAN sont configurées chez moi pour le moment. Je vais donc le faire ici. Mais si chez vous cette interface est déjà configurée vous pouvez passer à l’étape 3). Donc une fois sur l’interface d’administration, cliquez sur l’onglet « Interfaces » de barre de navigation puis « (assign) ».

Vous arriverez sur la page destinée à l’assignation de vos interfaces réseau. Commencez par cliquer sur « Add » pour assigner une nouvelle carte réseau disponible sur votre routeur (em2 chez moi). Puis « Save » pour sauvegarder.

Notre nouvelle interface est maintenant assignée. Chez moi son nom est OPT1.

Une fois cette étape faite vous devez cliquer à nouveau sur l’onglet « interfaces » de la barre de navigation puis sur le nom de l’interface créée précédemment (OPT1) pour passer à sa configuration.

Quand vous serez à la page dédiée à la configuration de l’interface OPT1 commencez par changer « l’IPv4 Configuration Type » pour « Static IPv4 ».

Ceci va permettre d’assigner une IP fixe à notre interface OPT.

Maintenant dans la section « Static IPv4 Configuration » choisissez une IP et un masque de sous réseau pour votre interface.

Cliquez ensuite sur le bouton « Save » pour sauvegarder la configuration.

Sur la page principale de notre PfSense nous pouvons maintenant remarquer que l’interface OPT1 est bien fonctionnelle et qu’une IP lui est assignée.

3. Nous devons maintenant créer une règle dans le firewall qui permettra à l’interface OPT1 de recevoir les paquets de synchronisation que l’autre PfSense peut nous envoyer.

Pour cela cliquez sur l’onglet « Firewall » de la barre de navigation puis « Rules ».

Rendez-vous ensuite sur l’onglet « OPT1 » de la page destinée à gestion du firewall (Flèche 1 de l’illustration ci-dessous). Puis cliquez sur « Add » pour ajouter une règle (flèche 2).

Vous voici maintenant sur la page destinée à la création d’une règle dans le firewall.

Dans un premier temps, assurez-vous bien que nous créons une règle pour l’interface de synchronisation (ici OPT1, flèche 1).

Notre règle doit laisser transiter les paquets à destination d’une IPv4. La section « Address Family » doit donc être réglée sur IPv4 (flèche 2).

J’ai personnellement choisi de laisser transiter tous les protocoles (flèche 3) de toutes les sources (flèche 4) vers toutes les destinations (flèche 5).

Mais vous pouvez très bien faire vous même une configuration plus poussée. Les paquets de synchronisation doivent pouvoir transiter d’un PfSense à l’autre.

Vous pouvez maintenant cliquer sur « Save » pour sauvegarder la configuration.

Nous pouvons constater que notre règle est maintenant fonctionnelle.

Configuration : Sur notre second PfSense (Notre Esclave/Slave) 

1. Vous devez maintenant vous rendre sur l’interface de configuration de votre second PfSense. Pour cela connectez-vous à son interface Web. (192.168.1.254 login : admin | password : pfsense)

2. Nous devons ici aussi assigner une nouvelle interface. Rendez-vous sous l’onglet « Interfaces » puis « (assign) » (si votre interface est déjà configurée vous pouvez passer à l’étape 3).

Pour assigner une nouvelle interface faisons la même manipulation qu’à notre premier PfSense en cliquant sur « Add » à côté de l’interface souhaitée puis « Save » pour sauvegarder.

Passons à la configuration de cette nouvelle interface. Rendez-vous à nouveau sur l’onglet « Interfaces » de notre barre de navigation puis OPT1. Comme précédemment assignez-lui une IP fixe. Pour cela mettez à nouveau l’« Ipv4 Configuration Type » sur « Static Ipv4 ».

Puis choisissez une nouvelle adresse IP à lui attribuer dans la section « Static IPv4 Configuration ».

Enfin cliquez sur « Save » pour sauvegarder votre configuration.

Retour sur notre page principale. Nous pouvons voir que notre nouvelle interface à été prise en compte.

3. Nous devons maintenant ici aussi créer une règle dans notre firewall pour permettre aux paquets de synchronisation de transiter entre nos deux PfSense via notre interface OPT1. Pour cela cliquez sur l’onglet « Firewall » puis « Rules ».

Cliquez sur l’onglet OPT1 de la page de configuration de notre firewall (flèche 1) puis « Add » pour ajouter une nouvelle règle (flèche 2).

Nous revoilà sur la page de configuration de règles pour le firewall. Comme avant, la configuration va être simple.

Pour cela assurez-vous que l’on édite bien une règle pour notre interface OPT1 « flèche 1 de l’illustration ci-dessous ».

Sélectionnez « IPv4 » dans la partie « Address Family » (flèche 2).

Comme précédemment, j’ai choisi de laisser tous les protocoles de toutes les sources et vers toutes les destinations transiter au travers de notre interface OPT1 (flèche 3, 4 et 5).

Sauvegardez votre configuration.

Votre nouvelle règle est maintenant en service.

4. Nous allons maintenant passer à la configuration de notre Fail-Over (Haute disponibilité). En effet notre PfSense esclave doit être configuré pour être synchronisé avec notre PfSense Maître.

Cliquez sur l’onglet « System » puis « High Avail. Sync ».

Pour la section « State Sychronization Settings » commencez par cocher la case correspondante à « Synchronize states » (partie 1 de l'image ci-dessous)

Puis choisissez l’interface utilisée pour la synchronisation ici OPT1 (flèche 2)

Enfin pour plus de sécurité vous pouvez remplir la section « pfsync Sychronize Peer IP » avec l’IP de votre PfSense Maître. (Flèche 3) Si vous ne remplissez pas cette section, les informations de synchronisation transiterons en multicast.

Plus bas la partie « Configuration Synchronization Settings (XMLRPC Sync) ». Laissez toute cette partie vierge.

En effet nous n’avons pas besoin de renseigner ces champs car la synchronisation va se faire du Maître vers l’Esclave et non l’inverse.

En-dessous cochez toutes les options de synchronisation.

Ceci va permettre de prendre en compte toutes les configurations faites sur le PfSense Maître.

Sauvegardez la configuration.

!!!!!!!!!!!!!!!!!!!! ATTENTION !!!!!!!!!!!!!!!!!!!!

La configuration de notre PfSense Esclave est maintenant terminée.

Nous n’aurons plus besoin de nous connecter à celui-ci. En effet toutes les futures configurations devront être faites sur le PfSense Maître dit Master et seront automatiquement répliquées vers celui-ci.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Configuration : Retour sur notre PfSense Maître/Master 

Passons maintenant à la configuration du Fail-Over sur notre PfSense Maître.

1. Pour cela rendez-vous à nouveau sur l’interface web de notre router PfSense Maître.

2. Cliquez sur l’onglet « System » de la barre de navigation puis « High Avail. Sync ».

Une fois sur la page de configuration cochez la case « Synchronize states » (partie 1).

Choisissez l’interface de synchronisation dans « Sychronize Interface » (flèche 2).

Puis mettez l’IP de votre PfSense master dans la section « pfsync Synchronize Peer IP » (flèche 3).

Dans la partie en dessous (Configuration Synchronization Stettings (XMLRPC Sync)) nous devons renseigner les informations de notre PfSense Esclave.

Vous devez donc renseigner son adresse IP dans un premier temps. Puis un utilisateur et son mot de passe pour permettre la connexion de notre PfSense Maître vers celui-ci.

Dans la partie « Select options to sync » cochez les mêmes cases que précédemment sur votre PfSense Esclave.

J’avais choisi de toutes les cocher pour synchroniser tous les paramètres.

Vous pouvez enfin sauvegarder votre configuration.

Vos deux PfSense sont maintenant Synchronisés et toutes les configurations faites sur le PfSense Maître seront automatiquement répliquées sur PfSense Esclave.

3. Pour cette troisième étape nous devons maintenant créer une interface réseau virtuelle pour chaque réseau que nous souhaitons mettre en cluster (réseaux LAN et WAN dans mon cas).

Pour cela rendez-vous sous l’onglet « Firewall » puis « Virtual IP ».

Une fois sur la page destinée à l’administration des interfaces virtuelles cliquez sur « Add ».

Commencer par choisir le type CARP (flèche 1).

Puis l’interface que l’on va mettre en cluster (WAN chez moi, flèche 2).

Choisissez une adresse IP à assigner à cette nouvelle interface (partie 3).

Enfin choisissez un mot de passe pour vos IP virtuelles.

Vous pouvez mettre ce que vous voulez (partie 4).

Pour finir, la partie « VHID Goup » (partie 5) correspond à l’ID de votre interface virtuelle. Vous devez en choisir une différente par interface virtuelle.

Votre nouvelle interface (WAN) est maintenant créée.

Nous allons maintenant recommencer pour l’interface LAN.

Pour cela, cliquez à nouveau sur « Add ». Puis remplissez les champs comme précédemment en les adaptant à votre réseau LAN.

Donc sélectionnez à nouveau CARP (flèche 1).

Puis l’interface (flèche 2).

La nouvelle IP du cluster LAN (partie 3).

Un mot de passe (partie 4).

Puis un « VHID Group » différent de notre autre interface (partie 5).

Sauvegarder la configuration.

La configuration de notre cluster est maintenant terminée.

Vous pouvez voir que nos deux interfaces ont bien été créées.

!!!!!!!!!!!!!!!!!!!! ATTENTION !!!!!!!!!!!!!!!!!!!!

Vous devez maintenant utiliser ces nouvelles interfaces virtuelles et non les interfaces réseau physiques pour faire transiter vos paquets d’un réseau à l’autre. (En effet les interfaces réseau physiques ne sont pas en cluster)

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Nous choisirons donc sur les hôtes de nos réseaux, ces interfaces en guise de passerelle/gateway.

Contrôle :

Nous allons quand même vérifier que la configuration a bien été prise en compte.

Pour cela sur notre PfSense Maître, cliquez sur l’onglet « Status » puis « CARP (Fail-Over).

Nous constatons que notre interface est bien fonctionnelle et en mode « MASTER » sur ce PfSense.

Si vous vous rendez dans la même section sur votre PfSense Esclave, vous verrez que celui-ci est bien en mode « BACKUP ».

Pour tester notre nouveau cluster, vous pouvez faire un ping depuis un hôte du réseau LAN vers un hôte du réseau WAN.

En coupant le PfSense Maître vous verrez que le PfSense Esclave prendra le relai et assurera la continuité du service.

Ce tutoriel est maintenant terminé. :)

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir
Logo de la société Cisco, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société IBM, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sun-Oracle, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Apple, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sybase, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Novell, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Intel, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Accenture, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société SAP, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Prometric, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Toeic, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo du IT Academy Program par Microsoft, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management

SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels