PFSense com failover de WAN múltiplo

2

Eu tenho duas caixas Linux executando o PFsense, uma delas é master e a outra é um backup. O mestre está tendo o IP 192.168.1.2 e o backup está tendo o IP 192.168.1.3. Eu criei um VIP 192.168.1.1 que é o gateway padrão para todos os sistemas na LAN.

No master e no backup, tenho duas interfaces, WAN1 e WAN2, que se conectam a duas outras máquinas Linux (que não executam o PFSense), que por sua vez se conectam aos ISPs. Eu criei grupos de gateway para balanceamento de carga e failover.

Todos os sistemas na LAN são capazes de acessar a Internet, mesmo que qualquer sistema ISP ou sistema de firewall (PFSense) fique inativo. A arquitetura abaixo funciona muito bem para balanceamento de carga entre ISPs e failover.

O problema acontece com conexões SSH. Se algum dos sistemas falhar, a conexão SSH será interrompida, por isso preciso reiniciar a conexão.

Qual alteração é necessária na arquitetura para que as conexões SSH não sejam interrompidas mesmo quando algum dos sistemas ficar inativo?

    
por Supratik 24.06.2014 / 09:36

1 resposta

1

Supondo que as interfaces WAN1 e WAN2 de ambas as máquinas tenham endereços IP públicos correspondentes ao ISP, você precisará garantir que também tenha um VIP no lado da WAN para ambas as redes ISP configuradas no CARP, pois a configuração de grupos de gateway não não parece também criar um VIP.

por exemplo,

Para o ISP-1, você pode ter:

Master.WAN1 166.10.15.1
Backup.WAN1 166.10.15.2
CARP VIP    166.10.15.3

Isso garante que o endereço de origem IP não seja alterado quando o pfSense migrar a sessão. Você precisaria então do mesmo tipo de configuração para o ISP-2.

O problema é que enquanto isso manterá o SSH (ou qualquer sessão TCP ativa) para um failover do PFSense Master para o PFSense Backup, não ajudará se o ISP-x ativo falhar como seu intervalo de endereços IP para cada ISP será diferente impedindo o pfSense de manter a sessão.

    
por 03.07.2014 / 12:07

Tags