HOW TO CONFIG PFSENSE HIGH AVAILABILITY STEP BY STEP

Chủ nhật - 30/05/2021 01:45

CONFIG PFSENSE HIGH AVAIABLE

 

1./ Giới thiệu​​ 

Trong bài Lab này tôi sẽ​​ hướng dẫn cấu hình Firewall Pfsense chạy High Availability để​​ dự​​ phòng nếu 1 server Master bị​​ down thì server Slave sẽ​​ ngay lập​​ tức lên thay thế. (downtime 1 gói tin khi ping liên tục.)

Sau khi add thêm card LAN, mặc định card WAN sẽ​​ bị​​ khoá truy cập, chỉ​​ có thể​​ truy cập qua port LAN của pfsense (vậy mà không cảnh báo)

#https://docs.netgate.com/pfsense/en/latest/book/highavailability/example-redundant-configuration.html

Muốn truy cập qua WAN vào webadmin thì có thể​​ tạo rule như ảnh​​ dưới.

 

 

Hiện tại chưa có phần giao diện check status​​ ACTIVE - STANDBY​​ đã thành công => pfsense hơi tù. Do đó có thể​​ test bằng cách tạo 1 rule trên master sau đó chuyển sang slave xem rule nếu sync sang rồi thì không có lỗi.

 

Cấu hình CARP​​ (Common Address Redundancy Protocol)

Link tham khảo về giao thức CARP

#https://en.wikipedia.org/wiki/Common_Address_Redundancy_Protocol

 

The Common Address Redundancy Protocol or CARP is a computer networking protocol which allows multiple hosts on the same local area network to share a set of IP addresses. Its primary purpose is to provide failover redundancy,​​ especially when used with firewalls and routers. In some configurations,​​ CARP can also provide load balancing functionality. CARP provides functionality similar to VRRP and to Cisco SystemsHSRP. It is implemented in several BSD-based operating systems and has been ported to Linux(ucarp).[1]

 

2./​​ Mô hình

 

3./ cài đặt

Setup Sync Interface

Cài đặt trên cả​​ FIREWALL​​ Active và Standby

Tạo sample rule allow port 443 và​​ port 80 trên cả​​ 2​​ FIREWALL​​ Active và standby.

 

Hoặc Tạo rule rất chặt thì như sau:

 

Configure pfsync

Cấu hình trên cả​​ 2​​ FIREWALL​​ A – S

State synchronization using pfsync must be configured on both the primary and secondary nodes to function.

First on the primary node and then on the secondary, perform the following:

  • Navigate to System > High Avail Sync

  • Check Synchronize States

  • Set Synchronize Interface to SYNC

  • Set pfsync Synchronize Peer IP to the other node. Set this to 172.16.1.3 when configuring the primary node, or 172.16.1.2 when configuring the secondary node

  • Click Save

 

 

 

Configure Configuration Synchronization (XML-RPC)

Lưu ý: chỉ​​ cấu hình trên​​ FIREWALL​​ Active

Password của user admin​​ FIREWALL​​ Standby

Sau khi cấu hình xong interface SYNC, test tạo rule trên​​ FIREWALL​​ active​​ nếu đồng bộ​​ được sang​​ FIREWALL​​ standby thì đã xong.

 

Configuring the CARP Virtual IPs

Chỉnh trọng số​​ skew để​​ lựa chọn server Firewall nào là master, lưu ý trọng số​​ bằng 0 luôn luôn là master, càng thấp càng ưu tiên làm master

 

 

Configure Outbound NAT for CARP

Ví dụ: Cấu hình cho 1 IP hoặc cả​​ dải IP Local được truy cập internet

 

Ví dụ​​ NAT 1-1

Allow 1-1 IP 10.0.2.100 trong LAN ra ngoài internet thông qua 1 vitural IP 10.0.1.23

Vitural IP cần được tạo trước khi NAT 11

Sau khi NAT 1-1 xong, để​​ remote và ping được cần tạo 2 rules sau

Rule mở​​ remote 3389 thì apply rất nhanh, nhưng rule allow ping thì khá lâu khi muốn deny ping, chỉ​​ mở​​ ping thì rất nhanh.

Tạo rule allow từ​​ outsite truy cập ping và remote vào inside

RULE LAN

RULE SYNC

 

4./​​ Lưu ý:

  • Update​​ timezone chuẩn GMT+7 trong system /general setup

  • Đã test high Avaiblity xong chỉ​​ rớt 1-2 gói tin (version mới nhất pfsense 2.4.4-p3)

  • Để​​ tạo rule apply cho tất cả​​ interface sử​​ dụng Floating trong Firewall/Rule/Floating

  • Disable update trên pfsense (có thể​​ gây reboot​​ FIREWALL​​ rất nguy hiểm)

 

chúc các bạn thành công, nếu gặp vấn đề gì trong cấu hình hãy comment ở bên dưới.

Tổng số điểm của bài viết là: 20 trong 4 đánh giá

Xếp hạng: 5 - 4 phiếu bầu
Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Dell Inspiron 5430 24.490.000

Dell Inspiron 5430

Dell Latitude 9510 18.200.000

Dell Latitude 9510

Dell Vostro 3500 24.600.000

Dell Vostro 3500

Dell Vostro 3400 18.900.000

Dell Vostro 3400

Bộ phận: Phòng Chăm sóc khách hàng
Điện thoại 0908 554 558
Email info@phatthanhdat.com
skype luuhongphuc
viber 0908554558
Zalo 0908554558
Yêu Xe - Trang Mạng Xã Hội
Phat Thanh Dat

DỊCH VỤ IT FULL TIME - QUẢN TRỊ MẠNG DOANH NGHIỆP

Phatthanhdat.com - Dịch vụ IT Full Time cung cấp nhân viên IT làm việc toàn thời gian cho doanh nghiệp không có nhu cầu tuyển dụng IT. Đến với dịch vụ IT của chúng tôi, chúng tôi đảm bảo hệ thống mạng của Quý khách luôn ổn định và sự cố sẽ được xử lý nhanh nhất. 1/ Phương thức làm việc - Khi...

Thăm dò ý kiến

Bạn biết trang web PTD từ đâu

Liên Hệ

Phòng Chăm sóc khách hàng


Phòng Kỹ thuật


Thống Kê
  • Đang truy cập77
  • Máy chủ tìm kiếm61
  • Khách viếng thăm16
  • Hôm nay16,628
  • Tháng hiện tại246,313
  • Tổng lượt truy cập6,631,450
Sản Phẩm
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây
Gửi phản hồi