[FUG-BR] Firewall Failover with pfsync and CARP

[Rodrigo Mosconi]

Em 3 de maio de 2011 17:32, Christiano Liberato
<christianoliberato em gmail.com> escreveu:
> Caros,
>
> ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
> resolvi.
> Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
> placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc.
> Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em
> uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele
> faz de 1 ip para outro ip.
> Como posso configurar o firewall para que tenha apenas um ip na interface
> atendendo tambem os outros ips?
> A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei
> todos serviços?

Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0
(sendo esta ultima um cabo cross com o outro fw).

Configure nas wan um "dumy" ip, ie, configure com um ip invalido:
10.0.0.1/29 no fw1 e  10.0.0.2/29 no fw2
analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2)
idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2)

Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e lan)

Configure as interface carps no fw1:
FreeBSD:
ifconfig carp0 create
ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29
ifconfig carp0 inet 200.x.y.z/n alias
(...)
analogo para a wan

No OpenBSD:
ifconfig carp0 create
ifconfig carp0 vhid 1 pass senha carpdev wan0
ifconfig carp0 inet 10.0.0.3/29
ifconfig carp0 inet 200.x.y.z/n alias
(...)

Repare que no freebsd não existe o carpdev

No fw1 analogo, mas adicionando advskew na definicao do vhid

http://www.freebsd.org/cgi/man.cgi?query=carp&sektion=4
http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4&manpath=OpenBSD+4.9

>
> Obrigado a todos!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>