PFsense tiene una alta disponibilidad incorporada utilizando algunas cosas. Tiene CARP para proporcionar conmutación por error en sus LAN y WAN IP, y tiene su propio protocolo de sincronización de configuración.
Imagine que hay dos firewalls pfsense, con una red privada dedicada / 30 (o / 126 en IPv6) para que se comuniquen. Cada uno de estos también tiene al menos dos puertos de red adicionales, etiquetémoslos como WAN / LAN por ahora.
PFsense también se puede poner en modo "puente", al conectar la WAN / LAN, puedo poner un enrutador en su puerto WAN que puede actuar como DHCP / DNS para el lado LAN. Todo lo que hace el cuadro PFsense es filtrar paquetes.
Ahora imagine que esto no se hace para una red privada, sino para una red pública. tenga en cuenta que los IP4 son un recurso valioso, y también están en su mayoría en uso, por lo que no se pueden reutilizar. Esencialmente, suponga que solo hay 2 IP disponibles para usar entre los dos cuadros PFsense, y no hay opción de crear una nueva red. Además, las partes de la red más allá del firewall (es decir, el enrutador) no están bajo mi control. Esto significa: no podemos cortar la red y pedirle al administrador del enrutador que redirija la red usando rutas estáticas.
Entonces, idealmente, pondríamos las dos cajas PFsense y las conectaríamos tanto en el lado WAN como en la LAN a un conmutador, y conectaríamos los conmutadores al enrutador en el lado WAN y a los servidores en el lado LAN. Pero, esto crearía un bucle obvio: como las cajas PFsense son esencialmente conmutadores sofisticados en modo puente, tenemos un bucle de capa 2 OSI con PF1 >> conmutador WAN >> PF2 >> conmutador LAN >> PF1, y la red simplemente no funciona en absoluto.
Por lo tanto, la solución lógica si se desea alta disponibilidad es de alguna manera obtener ambas . Pero la conmutación por error solo se analiza en términos de IP de CARP. Los puentes transparentes no tienen IP en absoluto, entonces, ¿cómo puedo tener mi pastel y comerlo también?
Mi idea inicial es que los cuadros PFsense de alguna manera deben coordinar lo siguiente: mientras el cuadro secundario ve que el primario está en línea, debería cerrar su interfaz LAN (idealmente: eso significa que ambos cortafuegos PFsense permanecen accesibles desde Internet para la configuración). Puede usar la interfaz SYNC para eso; incluso si se crea el bucle, la red SYNC debería permanecer operativa.
¿Cuál es la forma más directa / canónica de lograr esto?
Para mayor claridad, aquí hay un pequeño diagrama de red. Asumir una solución óptima: las partes rojas están fuera de control y no son modificables.
fuente