Haute Disponibilité sous pfSense : en quoi cela consiste ?
Dans cet article nous aborderons la création de groupe de pfSense redondant (cluster HA), la synchronisation et la réplication.
La haute disponibilité sous PfSense (HA) permet à une infrastructure ou bien à un service d’être joignable à tout moment.
La disponibilité des équipements et des services est un enjeu majeur. La non disponibilité peut entraîner des coûts exorbitants pour les entreprises en terme de perte de productivité.
Un des moyens utilisé pour améliorer la disponibilité est de mettre en place des clusters. Une solution qui se base sur la redondance matérielle des équipements.
La Haute Disponibilité sous PfSense (HA)
La Haute Disponibilité sous PfSense appelé aussi HA va donc assurer la continuité des services en évitant les problèmes d’indisponibilité et cela de manière transparente.
Afin de garantir la sécurité des données au sein de l’entreprise, on met en place des pare-feu qui garantissent un accès sécurisé aux réseaux et aux données.
On comprend bien l’intérêt du HA dans le cas de services sécurisées par un pare-feu.
Bon nombre de solutions existent mais celle que nous aborderons est celle du mode HA du pare-feu opensource pfSense, qui assure redondance, synchronisation et réplication
La tolérance aux pannes est un processus qui assure de la disponibilité.
Ainsi, si un des pfSense tombe en panne, l’autre prendra le relais de manière totalement transparente et continuera à assurer sécurité, confidentialité, intégrité et disponibilité des données.
Le protocole CARP
Pfsense est un pare-feu opensource (licence BSD) avec une base système sous freeBSD.
Le protocole mis en place dans PfSense est le protocole CARP (cryptage SHA1-HMAC ) qui travaille sur les couches 2 et 3 du modèle OSI.
Son fonctionnement est simple, il permet de mettre plusieurs pfSense dans un groupe définit par une seule adresse IP virtuelle.
Le protocole définit un maître qui va traiter l’ensemble des requêtes. Si ce maître est défaillant, les pfSense esclaves prendront le relais sans perturbation des services.
Le protocole Pfsync
Le Fail-Over se fait via le protocole pfsync, qui lui va synchroniser les différents pfSense qui exécutent Packet Filter (pf), le pare-feu originel de freeBSD.
Ainsi, pfsync va gérer les états de connexion entre les différents hôtes du cluster et pourra agir sur la reprise de connexion.
Il assurera donc en cas de panne la fiabilité des connexions de manière totalement transparente pour l’utilisateur.
Les messages pfsync étant envoyés en multicast, il est conseillé de mettre en place une carte réseau dédiée à cela sur chaque machine.
Cette préconisation évitera de mettre en place des règles de sécurité restrictives. Le cloisonnement des réseaux en VLAN permet également le confinement du multicast.
Car de part la nature multicast de pfsync, un intrus pourrait écouter les connexions et envoyer des paquets pfsync en se faisant passer pour un hôte du cluster et corrompre le système d’information.
XMLRPC
Quant à XMLRPC il assurera la réplication des données entre 2 pfSense en permettant au maître de répliquer certaines de ses données aux esclaves ( Routage, NAT, Firewall Rules, etc…)
Exemple de fonctionnement
Prenons l’exemple de 2 machines pfSense identiques et de 3 cartes réseaux sur chaque machine avec mode HA.
On synchronisera chaque pfsense en activant le protocole pfsync, garant de la tolérance aux pannes de manière transparente.
Suivant la configuration de l’infrastructure de l’entreprise, pfSense via le protocole XMLRPC répliquera les données pertinentes de configuration du pare-feu.
Ensuite sur chaque pfSense le protocole CARP prendra en charge la redondance grâce à l’attribution d’une adresse IP, disponible même en cas de panne d’un des serveurs
De cette façon les services restent disponibles pour votre infrastructure et cela sur tous les réseaux concernés et sans perturbations des services
Pour aller plus loin
Le mode haute disponibilité sous pfSense est un mode complet, très efficace et qui répond à tout type de besoins.
Il peut également être utilisé dans la répartition de charge de mandataires de cache web (RFC3040, HAProxy), si vos besoins en terme de disponibilité applicatives sont importants.
Supervision de PfSense
Chez Syloé, nous avons une expertise avancée de supervision avec Zabbix. Sur nos pfSense nous pouvons superviser les différentes caractéristiques du fonctionnement des briques de PfSense, comme nous pouvons personnaliser avec des scripts maison, la remontée d’alertes et de données des firewalls de nos clients.
A titre d’exemple voici 2 graphes de supervisions qui nous permettent de suivre la liaison pfsync et être alerté en cas de problème (Traffic (packets, Bps, ..), Pakets bloqués, etc.
Faites appel à un expert Syloé
Contactez-nous pour une analyse de vos besoins et découvrez notre offre de formation Linux.
gestionrdv
Merci pour ton partage et bonne continuation pour ton blog