[FUG-BR] Firewall Failover with pfsync and CARP

Terça Maio 3 17:41:36 BRT 2011

Não entendi...

se você usa carp, você vai publicar o ip que precisa ter redundância na 
carpX. Na interface física vai colocar outro ip na mesma subnet apenas 
para que o carp saiba a qual interface física associar(limitação da 
implementação carp do free, no openbsd você pude usar a flag 'carpdev'[1]).

algo do tipo:

Email publicado no IP - 200.1.1.1/24

bce0 na maquina master ficaria com o IP 200.1.1.254/24
bce0 na maquina slave ficaria com o IP 200.1.1.253/24
carp0 ficaria com o IP 200.1.1.1/24, em ambas, cada uma com o advskew 
diferente.

E seus apontamentos de firewall e afins vao pra 200.1.1.1. Quando a 
master cair, o IP 200.1.1.254 fica parado, mas o 200.1.1.1 assume na  
slave devido ao advskew diferente.

[1] http://www.mail-archive.com/freebsd-pf@freebsd.org/msg02640.html

Em 03/05/2011 17:32, Christiano Liberato escreveu:
> Caros,
>
> ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
> resolvi.
> Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
> placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc.
> Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em
> uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele
> faz de 1 ip para outro ip.
> Como posso configurar o firewall para que tenha apenas um ip na interface
> atendendo tambem os outros ips?
> A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei
> todos serviços?
>
> Obrigado a todos!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd