Hochverfügbarkeit für eine transparente pfsense Firewall?

0

PFsense verfügt über eine integrierte Hochverfügbarkeit, bei der einige Dinge zum Einsatz kommen. Es verfügt über CARP zur Bereitstellung eines Failovers für seine LAN- und WAN-IPs und über ein eigenes Konfigurationssynchronisierungsprotokoll.

Stellen Sie sich vor, es gibt zwei pfsense-Firewalls mit einem dedizierten privaten Netzwerk (/ 30 oder / 126 in IPv6), über das sie kommunizieren können. Jeder dieser Ports verfügt außerdem über mindestens zwei zusätzliche Netzwerkports. Bezeichnen wir sie zunächst als WAN / LAN.

PFsense kann auch in den "Bridge" -Modus versetzt werden. Durch Überbrücken des WAN / LAN kann ein Router an seinen WAN-Port angeschlossen werden, der als DHCP / DNS für die LAN-Seite fungieren kann. Alles, was die PFsense-Box dann tut, sind Filterpakete.

Stellen Sie sich nun vor, dass dies nicht für ein privates Netzwerk, sondern für ein öffentliches Netzwerk durchgeführt wird. Beachten Sie, dass IP4s eine wertvolle Ressource sind und meistens bereits verwendet werden. Sie können daher nicht für andere Zwecke verwendet werden. Angenommen, es sind nur zwei IP-Adressen für die beiden PFsense-Boxen verfügbar, und es besteht keine Möglichkeit, ein neues Netzwerk zu erstellen. Darüber hinaus unterliegen die Teile des Netzwerks außerhalb der Firewall (d. H. Des Routers) nicht meiner Kontrolle. Das bedeutet: Wir können das Netzwerk nicht aufteilen und den Router-Administrator auffordern, das Netzwerk über statische Routen umzuleiten.

Im Idealfall würden wir die beiden PFsense-Boxen platzieren und sie sowohl auf der WAN- als auch auf der LAN-Seite mit einem Switch verbinden und die Switches auf der WAN-Seite mit dem Router und auf der LAN-Seite mit den Servern verbinden. Dies würde jedoch zu einer offensichtlichen Schleife führen: Da es sich bei den PFsense-Boxen im Bridge-Modus im Wesentlichen um ausgefallene Switches handelt, handelt es sich um eine OSI-Schicht-2-Schleife, die auf PF1 & gt; & gt; WAN-Schalter & gt; & gt; PF2 & gt; & gt; LAN-Schalter & gt; & gt; PF1, und das Netzwerk würde einfach überhaupt nicht funktionieren.

Daher ist es die logische Lösung, wenn Hochverfügbarkeit gewünscht wird, dies irgendwie zu erreichen beide . Failover wird jedoch nur in Bezug auf CARP-IPs erörtert. Transparente Bridges haben überhaupt keine IPs. Wie kann ich also meinen Kuchen haben und ihn auch essen?

Meine anfängliche Idee ist, dass die PFsense-Boxen Folgendes koordinieren müssen: Während die sekundäre Box erkennt, dass die primäre online ist, sollte sie ihre LAN-Schnittstelle herunterfahren (idealerweise bedeutet dies, dass beide PFsense-Firewalls für die Konfiguration über das Internet erreichbar bleiben). Hierfür kann die SYNC-Schnittstelle verwendet werden. Auch wenn die Schleife erstellt wird, sollte das SYNC-Netzwerk funktionsfähig bleiben.

Was ist der einfachste / kanonischste Weg, dies zu erreichen?

Zur Verdeutlichung hier ein kleines Netzwerkdiagramm. Nehmen Sie für eine optimale Lösung an: Die roten Teile befinden sich außerhalb der Kontrolle und können nicht geändert werden.

enter image description here

aphid
quelle
Können Sie ein Diagramm zeichnen, ich versuche zu verstehen, was Sie tun möchten, und ich kann es überhaupt nicht verstehen. - Ich glaube jedoch nicht, dass Sie mit der transparenten Brücke ein Failover durchführen können. Sie können sie jedoch im Firewall-Modus mit CARP verwenden und DHCP und DNS zulassen.
djsmiley2k