Hello,
Si ce que Xavier t'as déjà dit ne suffit pas pour corriger le problème, pour ma part j'ai eu un problème de cache arp sur le switch où sont connectés les 2 pfSense : il voulait pas basculer de Master a slave sauf après un long "long" moment
c'est de l'hp => # ip ap-age <>
En espérant que ça puisse aider
Seb
-------- Message d'origine --------
De : Xavier Claude <contact@xavierclaude.be>
Date : 10/04/17 17:49 (GMT+01:00)
À : frsag@frsag.org
Objet : Re: [FRsAG] Aide firewall pfsense
> Bonjour,
>
> j'aurais besoin de conseils pour un soucis concernant une redondance
> physique pfsense avec CARP.
>
> La boite dans laquelle je travaille n'avait qu'un firewall sous pfsense,
> j'ai donc proposé de faire un firewall slave pour redonder celui ci en cas
> de problème.
>
> J'ai donc remis un place un second pfsense à l'identique du premier (ou
> presque). Des interfaces CARP ont été déclarées sur toutes les interfaces
> des firewall, j'ai réussi à faire fonctionner la synchronisation des
> firewall, et le slave est bien en statut backup sur toutes les interfaces.
> Enfin, toutes sauf pour le WAN...
>
> Je n'arrive pas à trouver pourquoi la CARP sur l'interface WAN ne
> fonctionne pas correctement, mais je ne peux pas tester avec le firewall
> slave branché car celui ci se déclare MASTER en WAN, sans possibilité
> d'accèder à internet (alors qu'il le devrait), et fait planter tout notre
> réseau.
>
> La CARP sur la partie WAN est déclarée sur une IP de type réseau privé,
> l'interface WAN possède quand à elle l'IP publique de la boite.
>
> On a aussi des alias d'interface sur l'interface WAN qui correspondent aux
> deux autres IP publiques de la boite.
>
> Lors de mes précédents tests, brancher les deux firewall a eu pour effet de
> faire planter tout le réseau (plus d'accès à internet), et les alias
> d'interfaces ont plantés, redant inaccessible des sites web clients (on
> utilise les ip publiques pour faire du port forwarding selon les services
> en gros)
>
> Quelqu'un aurait des conseils, des retours d'expérience ou une piste que je
> pourrais explorer? je suis à court d'idées
Salut,
On dirait que les deux firewall ne se voient pas sur le WAN. Si tu fait un
tcpdump sur le second (sans configurer le carp dessus pour qu'il ne devienne
pas master), est-ce que tu vois bien le multicast carp du premier firewall ?
Si tu vois bien le carp, est-ce que tu as bien la même configuration sur le
carp (même password, même demote (ou demote inférieur sur le premier), même
ordre pour définir les alias) ?
--
Xavier Claude
contact@xavierclaude.be
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/