[SOLVED] - Pfsense HA


#1

Bonjour,

Je suis en train d’essayer de mettre une solution pfsense sur mn serveur dédié.
L’idée est d’avoir 2 pfsense. Un actif et l’autre passif. Lorsque le premier pfsense plante ou lors d’actions de maintenance (mise à jour etc), l’autre prend le relai.

Pour ce faire J’ai 2 vm (esxi) configurés avec le HA activé. Ca c’est OK. Chaque pfsense possèce une ip failover WAN. Donc 2 adresses MAC différentes. J’ai ensuite une 3ème adresse ip failover que je veux utiliser comme VIP WAN Carp. Cette 3ème ip, pour tester, je l’ai mis sur la même MAC que la première car on ne peut pas attribuer une MAC à une VIP.

Sauf qu’il est impossible d’atteindre la VIP WAN. Par contre si je transforme la VIP CARP en IP ALIAS, j’atteins bien depuis internet, mais plus de CARP, donc plus de failover.

Est-il possible de monter une telle architecture sur un serveur dédié dedibox ? Parce qu’imaginons que les 3 IP failover fournies par online soit dans le même groupe de MAC, je ne crois pas que online apprécierait d’avoir 2 VIP avec la même MAC qui provient de 2 sources différentes. Ce qui me fait douter de la faisabilité de mon esprit tordu …

Une idée ? Quelqu’un a t il déjà monté ce type d’architecture avec 2 pfsense ?


#2

Hello,

je ne suis pas sûr que cela soit faisable (en tout cas de cette manière).
Petit extrait de la documentation pfSense :

The virtual IP addresses must fall within the same subnet of an IP address defined on a real interface (WAN, LAN, OPT1, etc.)

Sachant que nos IPs Failover sont des /32, ta VIP CARP ne pourra jamais être dans le même range qu’une de tes autres IPs.


#3

J’ai fini par arriver à la même conclusion. Je vais gérer différemment, mais cela demandera une action manuelle soit côté DNS, soit coté pfsense. Ce sera mon spof lol