Criando cluster com o PFSense
A redundância é um fator importante em uma rede. Este artigo ensina como criar uma redundância com duas máquinas utilizando PFSense, fazendo FailOver com dois clusters.
[ Hits: 51.376 ]
Por: Leonardo Damasceno em 15/12/2009 | Blog: https://techcraic.wordpress.com
Finalizando a configuração
Vá para a aba "Virtual IPs" e clique no botão "+" para adicionar uma nova regra.
Vamos ver um exemplo de configuração:
Vou explicar as opções selecionadas/marcadas:
Clique em "SAVE".
Ainda no "Master", vamos adicionar mais um Virtual IP, para a LAN:
Clique em "SAVE".
Obs.: Não esqueça de confirmar qualquer alteração feita clicando em "Apply Changes".
Agora vá ao PFSense "Backup" ou "Right", como queira chamar.
Clique em Status > CARP (FailOver).
Se você fez tudo certo, e seu firewall principal está rodando de forma correta, no firewall "backup" deve aparecer algo como:
Volte para o firewall principal e vamos terminar de configurar.
Clique em Firewall > NAT;
Vá até a aba "OutBound".
Marque a opção "Enable advanced outbound NAT" e clique em "SAVE".
Note que o PFSense cria uma regra default, vamos editá-la. Clique no "e" ao lado da regra para editar.
Vamos deixar assim:
Ainda no Firewall Master, clique em Services > DHCP Server. Em "Failover peer IP", coloque o IP do servidor backup.
Agora, no firewall backup, também em "Services > DHCP Server", vá até "Failover peer IP" e coloque o IP do servidor Master, depois clique em "SAVE".
Vamos ver um exemplo de configuração:
- CARP - Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP
- INTERFACE - Escolhemos WAN pois é nessa interface que vamos trabalhar agora e depois na interface local (LAN)
- IP Address(es) - Nessa opção você vai digitar apenas o IP real da WAN e sua máscara
- Virtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste"
- VHID Group - Escolha a opção "1", já que é a nosso primeiro CARP-Group
- Advertising Frequency - Essa opção vai determinar qual sistema vai se tornar "Master" colocando o menor valor, então vamos deixar "0" já que estamos configurando o Firewall "Master"
- Description - Aqui vamos colocar uma descrição, no meu caso coloquei "CARP-WAN"
Clique em "SAVE".
Ainda no "Master", vamos adicionar mais um Virtual IP, para a LAN:
- CARP - Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP
- INTERFACE - Escolhemos LAN
- IP Address(es) - Nessa opção você vai digitar apenas o IP da LAN, esse IP não pode estar em uso, e também escolha a máscara
- Virtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste"
- VHID Group - Escolha a opção "2"
- Advertising Frequency - Escolha "0"
- Description - Aqui vamos colocar uma descrição, eu utilizei "CARP-LAN"
Clique em "SAVE".
Obs.: Não esqueça de confirmar qualquer alteração feita clicando em "Apply Changes".
Agora vá ao PFSense "Backup" ou "Right", como queira chamar.
Clique em Status > CARP (FailOver).
Se você fez tudo certo, e seu firewall principal está rodando de forma correta, no firewall "backup" deve aparecer algo como:
Clique em Firewall > NAT;
Vá até a aba "OutBound".
Marque a opção "Enable advanced outbound NAT" e clique em "SAVE".
Note que o PFSense cria uma regra default, vamos editá-la. Clique no "e" ao lado da regra para editar.
Vamos deixar assim:
- No NAT (NOT) - Não marque essa opção
- Interface - WAN
- Source - Em "Type" selecione "Network", em "Address" coloque o endereço da sua rede, por exemplo 10.50.25.0 e máscara 23
- Destination - Em "Type" selecione "Any"
- Translation - Em "Address" selecione o IP da WAN onde tem ao lado (CARP-WAN ou WAN-CARP, depende de como você definiu)
- Description - Coloque a descrição e clique em SAVE
Ainda no Firewall Master, clique em Services > DHCP Server. Em "Failover peer IP", coloque o IP do servidor backup.
Agora, no firewall backup, também em "Services > DHCP Server", vá até "Failover peer IP" e coloque o IP do servidor Master, depois clique em "SAVE".
Páginas do artigo
1. Introdução2. Finalizando a configuração
Outros artigos deste autor
Segurança em seu Linux (parte 2)
Leitura recomendada
Integrando Layer7 + IPP2P ao Iptables
Hotspot - Atualização - CoovaChilli
Roteamento de entrada/saída com iproute e iptables
Comentários
[1] Comentário enviado por cleysinhonv em 15/12/2009 - 13:17h
Olá,
Me desculpe a pergunta, O que é o PFSense?
Olá,
Me desculpe a pergunta, O que é o PFSense?
[2] Comentário enviado por leodamasceno em 15/12/2009 - 13:41h
Olá cleysinhonv,
PFSense é um firewall com interface gráfica que é rodado em um FreeBSD.
Hoje, o PFSense está na versão 1.2.2, ele é muito utilizado em grandes redes.
Pode-se dizer, que ele é uma "alternativa" ao iptables, Mikrotik e outros firewalls de grande conhecimento.
Um abraço.
Olá cleysinhonv,
PFSense é um firewall com interface gráfica que é rodado em um FreeBSD.
Hoje, o PFSense está na versão 1.2.2, ele é muito utilizado em grandes redes.
Pode-se dizer, que ele é uma "alternativa" ao iptables, Mikrotik e outros firewalls de grande conhecimento.
Um abraço.
[3] Comentário enviado por fhferreira em 16/12/2009 - 08:52h
Olá,
Primeiramente Parabéns por mais um artigo bem detalhado e objetivo. Tenho uma dúvida sobre PFSense, como faço para configurar um ip secundário em uma interface do PFSense, por exemplo, ETH0:0 192.168.0.1 no caso do Linux.
Abraços.
Olá,
Primeiramente Parabéns por mais um artigo bem detalhado e objetivo. Tenho uma dúvida sobre PFSense, como faço para configurar um ip secundário em uma interface do PFSense, por exemplo, ETH0:0 192.168.0.1 no caso do Linux.
Abraços.
[4] Comentário enviado por leodamasceno em 16/12/2009 - 09:08h
Para o seu caso fhferreira,
acho que a opção "Virtual IP" no menu "Firewall" ( Firewall > Virtual IP ) vai servir :).
Você vai criar um IP Virtual na interface "X" que você vai definir, e também vai definir outras opções.
Um abraço.
Para o seu caso fhferreira,
acho que a opção "Virtual IP" no menu "Firewall" ( Firewall > Virtual IP ) vai servir :).
Você vai criar um IP Virtual na interface "X" que você vai definir, e também vai definir outras opções.
Um abraço.
[5] Comentário enviado por nps em 16/12/2009 - 10:23h
Muito bom seu tutorial, para quem não conhece o pfsense é o melhor firewall que
existe. Uso ele para compartilhar a internet em dois hoteis como gateway.
Mas não estou conseguindo fazer o traffic shaper limitar a taxa de downloads e upload
por exemplo . DOWNLOAD 15kbps e UPLOAD 15kbps
Para a classe de ips : 192.168.0.10 ate 192.168.0.50 por exemplo.
tem como vc me ajudar.
Obrigado
Muito bom seu tutorial, para quem não conhece o pfsense é o melhor firewall que
existe. Uso ele para compartilhar a internet em dois hoteis como gateway.
Mas não estou conseguindo fazer o traffic shaper limitar a taxa de downloads e upload
por exemplo . DOWNLOAD 15kbps e UPLOAD 15kbps
Para a classe de ips : 192.168.0.10 ate 192.168.0.50 por exemplo.
tem como vc me ajudar.
Obrigado
[6] Comentário enviado por y2h4ck em 16/12/2009 - 10:41h
nps, quanto a ser o melhor que existe dai ja é exagero neh ;D
nps, quanto a ser o melhor que existe dai ja é exagero neh ;D
[7] Comentário enviado por nps em 16/12/2009 - 10:50h
É, acho que exagerei. O IPTABLES do Linux é muito bom tambèm.
É, acho que exagerei. O IPTABLES do Linux é muito bom tambèm.
[8] Comentário enviado por leodamasceno em 16/12/2009 - 11:23h
y2h4ck, concerteza o PFsense é um dos melhores, e pra mim é a melhor solução livre de firewall com interface web.
Já pelo lado "pago", pra mim o melhor se chama MIKROTIK.
Respondendo a pergunta do nps:
Eu não aconselho utilizar o Traffic shaper, porque:
Simplismente ele não funciona, pois para utiliza-lo você precisa de alguns modulos no kernel, e não adianta ativar, você realmente tem que compilar o kernel e ativa-los. Um deles é o: dummynet
Uma ótima ferramenta para isso é o WebHTB, onde fiz um tutorial de instalação, acho que é um dos primeiros em português e de autoria própria:
http://www.vivaolinux.com.br/artigo/Instalando-o-WebHTB
Existem algumas alternativas pagas para controle de banda, mas nunca testei.
Lembrando que ainda existem HTB e CBQ em modo texto.
Boa sorte :)
y2h4ck, concerteza o PFsense é um dos melhores, e pra mim é a melhor solução livre de firewall com interface web.
Já pelo lado "pago", pra mim o melhor se chama MIKROTIK.
Respondendo a pergunta do nps:
Eu não aconselho utilizar o Traffic shaper, porque:
Simplismente ele não funciona, pois para utiliza-lo você precisa de alguns modulos no kernel, e não adianta ativar, você realmente tem que compilar o kernel e ativa-los. Um deles é o: dummynet
Uma ótima ferramenta para isso é o WebHTB, onde fiz um tutorial de instalação, acho que é um dos primeiros em português e de autoria própria:
http://www.vivaolinux.com.br/artigo/Instalando-o-WebHTB
Existem algumas alternativas pagas para controle de banda, mas nunca testei.
Lembrando que ainda existem HTB e CBQ em modo texto.
Boa sorte :)
[9] Comentário enviado por drakula em 16/12/2009 - 21:57h
Vale só complementar que saiu a 1.2.3 e com mudanças significativas no Load Balance, corrigiram o problema de ficar caindo, na minha opinião só falta o dansguardian nele para ficar completo.
Vale só complementar que saiu a 1.2.3 e com mudanças significativas no Load Balance, corrigiram o problema de ficar caindo, na minha opinião só falta o dansguardian nele para ficar completo.
[10] Comentário enviado por reverson_minero em 20/02/2010 - 10:48h
Cara eu lhe enviei um email...só mandei aqui pra confirmar !
Vllw
Cara eu lhe enviei um email...só mandei aqui pra confirmar !
Vllw
[11] Comentário enviado por volcom em 25/09/2012 - 16:09h
Legal, meu CARP esta funcionando sem problemas, mas além de firewall, meu PFSense também tem o Squid rodando. COmo faço para que o Squid slave assuma caso o master caia?
Até pensei em alterar a configuração do meu navegador para o IP do VIP, mas sem sucesso.
Vi algumas coisas na net sobre fazer um NAT para o loopback, mas não entendi muito bem...
Tem alguma dica?
Valeu!
Legal, meu CARP esta funcionando sem problemas, mas além de firewall, meu PFSense também tem o Squid rodando. COmo faço para que o Squid slave assuma caso o master caia?
Até pensei em alterar a configuração do meu navegador para o IP do VIP, mas sem sucesso.
Vi algumas coisas na net sobre fazer um NAT para o loopback, mas não entendi muito bem...
Tem alguma dica?
Valeu!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Meu Fork do Plugin de Integração do CVS para o KDevelop
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil
Criando uma VPC na AWS via CLI
Tópicos
xubuntu sem sons de eventos (3)
Erro ao iniciar serviço samba4 como novo dc em um ambiente com ad (9)
Dificuldade para renderizar vídeo no kdenlive (5)
Top 10 do mês
-
Xerxes
1° lugar - 67.078 pts -
Fábio Berbert de Paula
2° lugar - 49.706 pts -
Renato Michnik de Carvalho
3° lugar - 27.290 pts -
Buckminster
4° lugar - 17.774 pts -
Mauricio Ferrari
5° lugar - 15.113 pts -
Alberto Federman Neto.
6° lugar - 14.054 pts -
Diego Mendes Rodrigues
7° lugar - 13.803 pts -
Daniel Lara Souza
8° lugar - 13.611 pts -
edps
9° lugar - 11.549 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.066 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
