Criando cluster com o PFSense

A redundância é um fator importante em uma rede. Este artigo ensina como criar uma redundância com duas máquinas utilizando PFSense, fazendo FailOver com dois clusters.

[ Hits: 51.389 ]

Por: Leonardo Damasceno em 15/12/2009 | Blog: https://techcraic.wordpress.com


Finalizando a configuração



Vá para a aba "Virtual IPs" e clique no botão "+" para adicionar uma nova regra.

Vamos ver um exemplo de configuração:
Vou explicar as opções selecionadas/marcadas:
  • CARP - Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP
  • INTERFACE - Escolhemos WAN pois é nessa interface que vamos trabalhar agora e depois na interface local (LAN)
  • IP Address(es) - Nessa opção você vai digitar apenas o IP real da WAN e sua máscara
  • Virtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste"
  • VHID Group - Escolha a opção "1", já que é a nosso primeiro CARP-Group
  • Advertising Frequency - Essa opção vai determinar qual sistema vai se tornar "Master" colocando o menor valor, então vamos deixar "0" já que estamos configurando o Firewall "Master"
  • Description - Aqui vamos colocar uma descrição, no meu caso coloquei "CARP-WAN"

Clique em "SAVE".

Ainda no "Master", vamos adicionar mais um Virtual IP, para a LAN:
  • CARP - Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP
  • INTERFACE - Escolhemos LAN
  • IP Address(es) - Nessa opção você vai digitar apenas o IP da LAN, esse IP não pode estar em uso, e também escolha a máscara
  • Virtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste"
  • VHID Group - Escolha a opção "2"
  • Advertising Frequency - Escolha "0"
  • Description - Aqui vamos colocar uma descrição, eu utilizei "CARP-LAN"

Clique em "SAVE".

Obs.: Não esqueça de confirmar qualquer alteração feita clicando em "Apply Changes".

Agora vá ao PFSense "Backup" ou "Right", como queira chamar.

Clique em Status > CARP (FailOver).

Se você fez tudo certo, e seu firewall principal está rodando de forma correta, no firewall "backup" deve aparecer algo como:
Volte para o firewall principal e vamos terminar de configurar.

Clique em Firewall > NAT;

Vá até a aba "OutBound".

Marque a opção "Enable advanced outbound NAT" e clique em "SAVE".

Note que o PFSense cria uma regra default, vamos editá-la. Clique no "e" ao lado da regra para editar.

Vamos deixar assim:
  • No NAT (NOT) - Não marque essa opção
  • Interface - WAN
  • Source - Em "Type" selecione "Network", em "Address" coloque o endereço da sua rede, por exemplo 10.50.25.0 e máscara 23
  • Destination - Em "Type" selecione "Any"
  • Translation - Em "Address" selecione o IP da WAN onde tem ao lado (CARP-WAN ou WAN-CARP, depende de como você definiu)
  • Description - Coloque a descrição e clique em SAVE

Ainda no Firewall Master, clique em Services > DHCP Server. Em "Failover peer IP", coloque o IP do servidor backup.

Agora, no firewall backup, também em "Services > DHCP Server", vá até "Failover peer IP" e coloque o IP do servidor Master, depois clique em "SAVE".

Página anterior    

Páginas do artigo
   1. Introdução
   2. Finalizando a configuração
Outros artigos deste autor

Desmistificando o GNU/Linux

Adicionando usuário no OpenLDAP

Instalando o WebHTB

Qmail: simples e funcional

Segurança em seu Linux (parte 2)

Leitura recomendada

Balanceamento de carga entre 2 placas de rede

UFW e GuFW, firewall simples ao alcance de todos

Firewall/Proxy (solução completa)

Análise da distribuição Mandrake Security

Iptables 1.3.4 com Layer 7 e Kernel 2.6.14 no Debian 3.1

  
Comentários
[1] Comentário enviado por cleysinhonv em 15/12/2009 - 13:17h

Olá,

Me desculpe a pergunta, O que é o PFSense?

[2] Comentário enviado por leodamasceno em 15/12/2009 - 13:41h

Olá cleysinhonv,
PFSense é um firewall com interface gráfica que é rodado em um FreeBSD.
Hoje, o PFSense está na versão 1.2.2, ele é muito utilizado em grandes redes.
Pode-se dizer, que ele é uma "alternativa" ao iptables, Mikrotik e outros firewalls de grande conhecimento.

Um abraço.

[3] Comentário enviado por fhferreira em 16/12/2009 - 08:52h

Olá,

Primeiramente Parabéns por mais um artigo bem detalhado e objetivo. Tenho uma dúvida sobre PFSense, como faço para configurar um ip secundário em uma interface do PFSense, por exemplo, ETH0:0 192.168.0.1 no caso do Linux.

Abraços.

[4] Comentário enviado por leodamasceno em 16/12/2009 - 09:08h

Para o seu caso fhferreira,
acho que a opção "Virtual IP" no menu "Firewall" ( Firewall > Virtual IP ) vai servir :).
Você vai criar um IP Virtual na interface "X" que você vai definir, e também vai definir outras opções.


Um abraço.

[5] Comentário enviado por nps em 16/12/2009 - 10:23h

Muito bom seu tutorial, para quem não conhece o pfsense é o melhor firewall que
existe. Uso ele para compartilhar a internet em dois hoteis como gateway.
Mas não estou conseguindo fazer o traffic shaper limitar a taxa de downloads e upload
por exemplo . DOWNLOAD 15kbps e UPLOAD 15kbps
Para a classe de ips : 192.168.0.10 ate 192.168.0.50 por exemplo.

tem como vc me ajudar.
Obrigado

[6] Comentário enviado por y2h4ck em 16/12/2009 - 10:41h

nps, quanto a ser o melhor que existe dai ja é exagero neh ;D

[7] Comentário enviado por nps em 16/12/2009 - 10:50h

É, acho que exagerei. O IPTABLES do Linux é muito bom tambèm.

[8] Comentário enviado por leodamasceno em 16/12/2009 - 11:23h

y2h4ck, concerteza o PFsense é um dos melhores, e pra mim é a melhor solução livre de firewall com interface web.
Já pelo lado "pago", pra mim o melhor se chama MIKROTIK.

Respondendo a pergunta do nps:
Eu não aconselho utilizar o Traffic shaper, porque:
Simplismente ele não funciona, pois para utiliza-lo você precisa de alguns modulos no kernel, e não adianta ativar, você realmente tem que compilar o kernel e ativa-los. Um deles é o: dummynet

Uma ótima ferramenta para isso é o WebHTB, onde fiz um tutorial de instalação, acho que é um dos primeiros em português e de autoria própria:
http://www.vivaolinux.com.br/artigo/Instalando-o-WebHTB

Existem algumas alternativas pagas para controle de banda, mas nunca testei.


Lembrando que ainda existem HTB e CBQ em modo texto.


Boa sorte :)

[9] Comentário enviado por drakula em 16/12/2009 - 21:57h

Vale só complementar que saiu a 1.2.3 e com mudanças significativas no Load Balance, corrigiram o problema de ficar caindo, na minha opinião só falta o dansguardian nele para ficar completo.

[10] Comentário enviado por reverson_minero em 20/02/2010 - 10:48h

Cara eu lhe enviei um email...só mandei aqui pra confirmar !
Vllw

[11] Comentário enviado por volcom em 25/09/2012 - 16:09h

Legal, meu CARP esta funcionando sem problemas, mas além de firewall, meu PFSense também tem o Squid rodando. COmo faço para que o Squid slave assuma caso o master caia?

Até pensei em alterar a configuração do meu navegador para o IP do VIP, mas sem sucesso.

Vi algumas coisas na net sobre fazer um NAT para o loopback, mas não entendi muito bem...

Tem alguma dica?

Valeu!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts