Configurar un firewall con failover PFSense 2.0.1.

Públicado en por

Básicamente la idea consiste en configurar en nuestra organización un firewall con redundancia en la cual se replican los estados de las conexiones en un equipo de backup y en caso de producirse una falla en el principal, el secundario entre en funcionamiento automáticamente sin producir cortes en las comunicaciones.

Por ello en el ejemplo configuraremos dos firewall capaces de funcionar sincronizadamente, uno como equipo principal y otro como secundario de backup.

Nuestro esquema propuesto es el siguiente:

 

clip_image002

 

Elementos necesarios.

·         1 Proveedor de internet que nos proporcione tres IP para conectarnos a la red.

·         2 Equipos que funcionen como firewall y PFSense 2.0.1 instalado.

·         3 Placas de red en cada firewall.

·         1 dirección IP VHID definida para la red WAN.

·         1 dirección IP VHID definida para la red LAN (esta será el gateway para los clientes de la LAN).

Las direcciones VHID son las direcciones IP virtuales que serán compartidas por los firewalls para establecer las conexiones tanto en la LAN interna como en la WAN. Es decir, ambos equipos responderan a la misma IP, sin embargo también cada equipo debe tener su dirección particular.

En resumen en cada equipo configuraremos las siguientes direcciones en cada placa:

Firewall 1 (Principal):

WAN: 10.0.1.2

LAN: 192.168.2.1

SYNC: 1.1.1.1 (Será la IP utilizada para sincronizar los firewalls)

Firewall 2 (Backup):

WAN: 10.0.1.3

LAN: 192.168.2.2

SYNC: 1.1.1.2

Y a su vez, en ambos equipos las siguientes IP Virtuales:

VHID WAN: 10.0.1.250 (Debe ser provista por el ISP)

VHID LAN: 192.168.2.250 (Será el gateway al que deben apuntar los clientes)

 

Comencemos entonces con la configuración:

Primero asignamos las placas de red a las diferentes interfaces desde el menú Interfaces à Assing

clip_image003clip_image004clip_image005clip_image005[1]clip_image007

Luego asignamos la IP correspondiente a cada interfaz desde Interfaces à [Placa Correspondiente]

 

clip_image008clip_image010

 

Asignamos la IP a la interfaz de sincronización:

clip_image011clip_image012clip_image013clip_image014clip_image016

Luego a la placa de LAN:

clip_image017clip_image018clip_image019clip_image020clip_image022

Y por último a la placa WAN, a la cual además le asignamos el gateway correspondiente proporcionado por el ISP:

clip_image023clip_image024clip_image025clip_image026clip_image027clip_image029

 

Ahora se deben asignar las IPs Virtuales que hemos definido. Vamos a Firewall à Virtual IPs

 

clip_image030clip_image032

En la pestaña Virtual IPs debemos pulsar en el botón (+) para agregar una nueva VHID.

clip_image033clip_image034clip_image035clip_image037

Primero agregamos la IP virtual de la WAN. Es importante que se seleccione el Type CARP.

En el campo Virtual IP Password debemos settear una clave que se insertará igual en ambos firewall.

Y además el VHID Group debe configurarse de la misma forma en ambos firewalls.

clip_image038clip_image039clip_image040clip_image041clip_image042clip_image044

Luego configuramos el VHID de la red LAN de la misma forma en ambos dispositivos.

clip_image045clip_image046clip_image047clip_image048clip_image049
clip_image051

El siguiente paso solo debemos hacerlo en el firewall principal:

En  la pestaña CARP Settings debemos tildar la opción Synchronize States, seleccionamos la interfaz definida para tal caso (SYNC) y seteamos la IP del otro firewall (en el ejemplo la IP de sincronización del firewall 2 de backup) con la cual se replicará el estado.

clip_image052clip_image053clip_image054clip_image055clip_image056clip_image058

Mas abajo debemos establecer el usuario y clave de administración del dispositivo de backup y seleccionar las características que se desean sincronizar:

clip_image059clip_image060clip_image061clip_image062clip_image063clip_image064clip_image065clip_image060[1]clip_image066clip_image068

 

clip_image069clip_image071

clip_image072clip_image073clip_image074clip_image075clip_image077

Pulsando en Save guardaremos los cambios.

El siguiente paso consiste en habilitar en ambos firewalls una regla que permita la comunicación entre las placas de sincronización de ambos dispositivos.

Para ello vamos a Firewall àRules à Placa SYNC

 

clip_image078clip_image080

En nuestro caso habilitamos el tráfico completo en dicha interfaz:

clip_image081clip_image082clip_image084

 

Una vez aplicada la regla en ambos equipos, podremos comprobar el status del Cluster de firewall llendo a Status à CARP (failover)

clip_image085clip_image087

 

Si estamos situados en el firewall principal veremos que el status de las Virtuals IPs es MASTER y con la flecha verde nos indica que está online:

clip_image088clip_image089clip_image091

 

Si nos logueamos en el firewall de backup veremos que el status de las Virtuals IPs dice Backup

clip_image093 

clip_image094clip_image054[1]clip_image096

 

Por último, si queremos verificar que la sincronización está funcionando correctamente podemos probarlo aplicando una regla de firewall en uno de los dispositivos y luego verificando que en el otro se a replicado automáticamente.

Descargar tutorial: Tutorial PFSense Firewall Failover

2 comentarios sobre “Configurar un firewall con failover PFSense 2.0.1.

  1. charlis

    megusta pfsense y quiero porne un mensaje en la red cuando secar el internet para traquilisar lo cliente y cuando corto un cliente que lesarga una pagina que con el mensaje que le quiero dar

  2. oegomez

    mmm como que lo que te entendi es qeu requiero 2 cajas pfsense para lograr esto =???

    lo que ando buscando es hacer el el Fail over sobre la misma caja pfsense con dos placas de red , cada una hacia la internet ….

    como se logra ..??

    saludos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *