Firewall -> rules,<\/em><\/strong> selecione a interface CARP (ou a sua usada para Sincronismo do CARP)<\/p>\n\n\nLembre-se: uma nova interface criada no pfsense como essa CARP por padr\u00e3o ele ir\u00e1 bloquear qualquer dado que tente passar por ela, por isso \u00e9 necess\u00e1rio criar uma regra para liberar o que se precisa.<\/pre>\n\n\nVamos criar uma regra default liberando tudo, \u00e9 recomendado liberar apenas o que se precisa( como um protocolo ou porta), no meu caso irei liberar tudo.<\/p>\n\n\n
Clique no bot\u00e3o Add, e na janela configure:<\/p>\n\n\n <\/figure>\n\n\nAction: Pass<\/li> Protocolo: any<\/li> Source: any<\/li> Destination: any<\/li> Save<\/li><\/ol>\n\n\nLembrando que a regra deve ser criada nos dois firewalls.<\/p>\n\n\n
TESTE COMUNICA\u00c7\u00c3O<\/h3>\n\n\n No FIREWALL PRINCIPAL<\/strong>, v\u00e1 na aba Diagnostics -> Ping<\/em><\/strong>, digite o IP da interface CARP do firewall secund\u00e1rio afim de testar comunica\u00e7\u00e3o entre eles, no meu caso o 172.16.0.3<\/p>\n\n\n <\/figure>\n\n\nCaso tenha algum problema com esse teste volte nas op\u00e7\u00f5es das regras entre os firewalls e reavalie se est\u00e1 tudo liberado.<\/pre>\n\n\nCONFIGURANDO HIGH AVAILABILITY<\/h3>\n\n\n No FIREWALL PRINCIPAL <\/strong>fa\u00e7a conforme abaixo:<\/p>\n\n\nV\u00e1 na aba System -> High Avail. Sync,<\/em><\/strong> dever\u00e1 mostrar como abaixo.<\/p>\n\n\n <\/figure>\n\n\nSynchronize states<\/strong>: marque a caixa. Essa op\u00e7\u00e3o ativa a comunica\u00e7\u00e3o via protocolo PFSYNC<\/strong>, escuta informa\u00e7\u00f5es do estado dos firewalls entre outras mensagens.<\/li>Synchronize Interface<\/strong>: selecione a interface que ser\u00e1 usado para comunica\u00e7\u00e3o entre os firewalls, no meu caso a CARP<\/strong><\/li>Pfsync Synchronize Peer IP<\/strong>: o IP do firewall slave(secund\u00e1rio). For\u00e7a o envio de informa\u00e7\u00f5es direto para o IP informado, ao inv\u00e9s de usar multicast.<\/li><\/ol>\n\n\nNa mesma janela mais abaixo ter\u00e1 mais op\u00e7\u00f5es, configure como abaixo ainda no firewall principal:<\/p>\n\n\n <\/figure>\n\n\nSynchronize Config IP<\/strong>: IP do firewall secund\u00e1rio.<\/li>Remote System Username<\/strong>: um usu\u00e1rio administrador no pfsense secund\u00e1rio v\u00e1lido, usei admin<\/strong> mas \u00e9 recomendado criar um usu\u00e1rio apenas para essa configura\u00e7\u00e3o de CARP porque caso a senha admin for alterada, aqui no CARP dever\u00e1 ser alterada tamb\u00e9m e por seguran\u00e7a claro.<\/li>Remote System Password<\/strong>: senha do usu\u00e1rio acima.<\/li>Select options to sync<\/strong>: configura\u00e7\u00f5es que ser\u00e3o sincronizadas entre os firewalls, no meu caso selecionei tudo.<\/li>Clique em save<\/strong>.<\/li><\/ol>\n\n\nNo FIREWALL SECUND\u00c1RIO<\/strong>, v\u00e1 tamb\u00e9m na aba System -> High Avail. Sync<\/em><\/strong>, configure apenas as duas op\u00e7\u00f5es como abaixo:<\/p>\n\n\n <\/figure>\n\n\nCONFIGURANDO VIRTUAL IPs<\/h3>\n\n\n O Virtual IP tamb\u00e9m chamado de VIP, como o nome diz \u00e9 um IP Virtual que \u00e9 usado por um ou mais hosts, ou seja este IP tanto estar\u00e1 num host quanto num outro. Para entender melhor, no nosso cen\u00e1rio teremos o IP virtual na LAN 192.168.1.1, este IP estar\u00e1 nos nossos dois firewall, apenas 1 responder\u00e1 pelas requisi\u00e7\u00f5es enquanto for MASTER, o firewall de BACKUP responder\u00e1 por esse IP Virtual apenas quando o MASTER(firewall principal) estiver indispon\u00edvel. Teremos ainda um IP virtual na WAN. <\/p>\n\n\n
No FIREWALL PRINCIPAL<\/strong>, v\u00e1 aba Firewall -> Virtual IPs<\/em><\/strong>, em seguida clique no bot\u00e3o verde ADD<\/strong> como abaixo<\/p>\n\n\n <\/figure>\n\n\nEm seguida preencha como abaixo:<\/p>\n\n\n <\/figure>\n\n\nType<\/strong>: CARP<\/li>Interface<\/strong>: nesse caso ser\u00e1 WAN<\/li>Address<\/strong>: entre com o IP que ser\u00e1 o IP virtual para a WAN do seu projeto, no meu caso 192.168.0.50 e a m\u00e1scara do lado( muito importante n\u00e3o esquecer)<\/li>Virtual IP Password<\/strong>: uma senha qualquer para o IP virtual, n\u00e3o confunda com a senha do admin do pfsense, n\u00e3o \u00e9 esse o caso pode at\u00e9 ser a mesma mas n\u00e3o est\u00e3o relacionadas.<\/li>VHID Group<\/strong>: deixe o padr\u00e3o que ser\u00e1 1, perceba apenas se quando criar o IP virtual para a LAN ser\u00e1 2, porque deve seguir sequencia.<\/li>Advertising frequency<\/strong>: deixe padr\u00e3o, servir\u00e1 para definir o master e backup firewall, ser\u00e1 alterado apenas no firewall secund\u00e1rio<\/li>Description<\/strong>: d\u00ea uma descri\u00e7\u00e3o, siga as boas pr\u00e1ticas.<\/li>Clique em Save<\/strong><\/li><\/ol>\n\n\nDepois de salvar, crie mais uma VIP como a de cima, por\u00e9m altere para LAN<\/strong> a interface e altere o Address<\/strong> conforme seu projeto, no meu caso foi 192.168.1.1.<\/p>\n\n\nNo FIREWALL SECUND\u00c1RIO<\/strong>, crie os dois VIP como acima criados, mas altere apenas a op\u00e7\u00e3o Advertising frequency,<\/strong> especificamente em Skew<\/strong> onde tiver 0<\/strong> coloque 1<\/strong>, assim definimos que ele ter\u00e1 uma preferencia mais baixa no CARP sendo assim o firewall de backup (secund\u00e1rio).<\/p>\n\n\nObserve que a configura\u00e7\u00e3o de IP Virtual dessa se\u00e7\u00e3o \u00e9 a mesma para os dois firewall, mudando apenas algumas coisas, mas IP e Mask iguais.<\/pre>\n\n\nSTATUS<\/h3>\n\n\n Na aba Status -> CARP(failover),<\/em><\/strong> voc\u00ea ter\u00e1 uma vis\u00e3o geral do status do firewall, acesse em cada um e valide se o master \u00e9 quem deveria ser e de backup tamb\u00e9m.<\/p>\n\n\nTROUBESHOOTS<\/h3>\n\n\n Se obter nas notifica\u00e7\u00f5es do pfsense a mensagem abaixo, verifique o usu\u00e1rio e senha configurados em System -> High Avail. Sync<\/em><\/strong><\/p>\n\n\nAuthentication failed: not enough privileges<\/pre>\n\n\nEm testes desse cen\u00e1rio em VirtualBox, tive problemas tamb\u00e9m com as interfaces, da LAN eu n\u00e3o pingava para o VIP, ent\u00e3o coloquei todas as interfaces em modo promiscuo. <\/p>\n\n\n
Para mais troubeshoots acesse aqui<\/a>.<\/p>\n\n\nFONTE<\/h3>\n\n\n https:\/\/docs.netgate.com\/pfsense\/en\/latest\/highavailability\/troubleshooting-high-availability-clusters.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"CEN\u00c1RIO PR\u00c9-REQUISITOS Use mesma vers\u00e3o do pfsense nos firewalls. N\u00e3o sei nas mais atuais, mas j\u00e1 vi casos de vers\u00f5es diferentes serem um problema para funcionar corretamente a alta disponibilidade. CONFIGURANDO INTERFACES No firewall principal as interfaces foram configuradas como abaixo: WAN: 192.168.0.52 \/24 gateway 192.168.0.1 LAN: 192.168.1.2 \/24 CARP: 172.16.0.2 \/29 No firewall secund\u00e1rio […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[6,25,15],"tags":[67],"_links":{"self":[{"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/posts\/823"}],"collection":[{"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/comments?post=823"}],"version-history":[{"count":1,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/posts\/823\/revisions"}],"predecessor-version":[{"id":1867,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/posts\/823\/revisions\/1867"}],"wp:attachment":[{"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/media?parent=823"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/categories?post=823"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/tags?post=823"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}