A redundância é um fator importante em uma rede. Este artigo ensina como criar uma redundância com duas máquinas utilizando PFSense, fazendo FailOver com dois clusters.
Vá para a aba "Virtual IPs" e clique no botão "+" para adicionar uma nova regra.
Vamos ver um exemplo de configuração:
Vou explicar as opções selecionadas/marcadas:
CARP - Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP
INTERFACE - Escolhemos WAN pois é nessa interface que vamos trabalhar agora e depois na interface local (LAN)
IP Address(es) - Nessa opção você vai digitar apenas o IP real da WAN e sua máscara
Virtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste"
VHID Group - Escolha a opção "1", já que é a nosso primeiro CARP-Group
Advertising Frequency - Essa opção vai determinar qual sistema vai se tornar "Master" colocando o menor valor, então vamos deixar "0" já que estamos configurando o Firewall "Master"
Description - Aqui vamos colocar uma descrição, no meu caso coloquei "CARP-WAN"
Clique em "SAVE".
Ainda no "Master", vamos adicionar mais um Virtual IP, para a LAN:
CARP - Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP
INTERFACE - Escolhemos LAN
IP Address(es) - Nessa opção você vai digitar apenas o IP da LAN, esse IP não pode estar em uso, e também escolha a máscara
Virtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste"
VHID Group - Escolha a opção "2"
Advertising Frequency - Escolha "0"
Description - Aqui vamos colocar uma descrição, eu utilizei "CARP-LAN"
Clique em "SAVE".
Obs.: Não esqueça de confirmar qualquer alteração feita clicando em "Apply Changes".
Agora vá ao PFSense "Backup" ou "Right", como queira chamar.
Clique em Status > CARP (FailOver).
Se você fez tudo certo, e seu firewall principal está rodando de forma correta, no firewall "backup" deve aparecer algo como:
Volte para o firewall principal e vamos terminar de configurar.
Clique em Firewall > NAT;
Vá até a aba "OutBound".
Marque a opção "Enable advanced outbound NAT" e clique em "SAVE".
Note que o PFSense cria uma regra default, vamos editá-la. Clique no "e" ao lado da regra para editar.
Vamos deixar assim:
No NAT (NOT) - Não marque essa opção
Interface - WAN
Source - Em "Type" selecione "Network", em "Address" coloque o endereço da sua rede, por exemplo 10.50.25.0 e máscara 23
Destination - Em "Type" selecione "Any"
Translation - Em "Address" selecione o IP da WAN onde tem ao lado (CARP-WAN ou WAN-CARP, depende de como você definiu)
Description - Coloque a descrição e clique em SAVE
Ainda no Firewall Master, clique em Services > DHCP Server. Em "Failover peer IP", coloque o IP do servidor backup.
Agora, no firewall backup, também em "Services > DHCP Server", vá até "Failover peer IP" e coloque o IP do servidor Master, depois clique em "SAVE".
[2] Comentário enviado por leodamasceno em 15/12/2009 - 13:41h
Olá cleysinhonv,
PFSense é um firewall com interface gráfica que é rodado em um FreeBSD.
Hoje, o PFSense está na versão 1.2.2, ele é muito utilizado em grandes redes.
Pode-se dizer, que ele é uma "alternativa" ao iptables, Mikrotik e outros firewalls de grande conhecimento.
[3] Comentário enviado por fhferreira em 16/12/2009 - 08:52h
Olá,
Primeiramente Parabéns por mais um artigo bem detalhado e objetivo. Tenho uma dúvida sobre PFSense, como faço para configurar um ip secundário em uma interface do PFSense, por exemplo, ETH0:0 192.168.0.1 no caso do Linux.
[4] Comentário enviado por leodamasceno em 16/12/2009 - 09:08h
Para o seu caso fhferreira,
acho que a opção "Virtual IP" no menu "Firewall" ( Firewall > Virtual IP ) vai servir :).
Você vai criar um IP Virtual na interface "X" que você vai definir, e também vai definir outras opções.
[5] Comentário enviado por nps em 16/12/2009 - 10:23h
Muito bom seu tutorial, para quem não conhece o pfsense é o melhor firewall que
existe. Uso ele para compartilhar a internet em dois hoteis como gateway.
Mas não estou conseguindo fazer o traffic shaper limitar a taxa de downloads e upload
por exemplo . DOWNLOAD 15kbps e UPLOAD 15kbps
Para a classe de ips : 192.168.0.10 ate 192.168.0.50 por exemplo.
[8] Comentário enviado por leodamasceno em 16/12/2009 - 11:23h
y2h4ck, concerteza o PFsense é um dos melhores, e pra mim é a melhor solução livre de firewall com interface web.
Já pelo lado "pago", pra mim o melhor se chama MIKROTIK.
Respondendo a pergunta do nps:
Eu não aconselho utilizar o Traffic shaper, porque:
Simplismente ele não funciona, pois para utiliza-lo você precisa de alguns modulos no kernel, e não adianta ativar, você realmente tem que compilar o kernel e ativa-los. Um deles é o: dummynet
[9] Comentário enviado por drakula em 16/12/2009 - 21:57h
Vale só complementar que saiu a 1.2.3 e com mudanças significativas no Load Balance, corrigiram o problema de ficar caindo, na minha opinião só falta o dansguardian nele para ficar completo.
[11] Comentário enviado por volcom em 25/09/2012 - 16:09h
Legal, meu CARP esta funcionando sem problemas, mas além de firewall, meu PFSense também tem o Squid rodando. COmo faço para que o Squid slave assuma caso o master caia?
Até pensei em alterar a configuração do meu navegador para o IP do VIP, mas sem sucesso.
Vi algumas coisas na net sobre fazer um NAT para o loopback, mas não entendi muito bem...