Fala galera, hoje é dia de Cluster de Firewall!
Hoje vamos trabalhar com alta disponibilidade no pfSense 2.3, ótima solução para médias e grandes empresas, solução robusta e atende muito bem, ponto chave em uma implementação é o hardware.
Caso você tenha necessidade de uma implementação de firewall de borda estou a disposição.
https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)
Atualmente atua como Cloud Solutions Manager pela Atos Brasil, entusiasta Microsoft, FreeBSD e Debian, com mais de 15 anos de experiência em infraestrutura de T.I com ambientes heterogêneos, possuí o título de MCT – Microsoft Certified Trainer e especialista em segurança de perímetro, tendo atuado com soluções como Isa Server, iptables, IPFW, Cisco ASA, SonicWall, Fortigate, pfSense e soluções de Web Application Firewall.
Luiz, boa tarde.
Cara, parabéns pelo vídeo e compartilhar esse conhecimento.
Agora, na lista de opções de sincronismo, não consta squid, certo!?
Para ter um HA entre pfsense que esteja rodando Proxy, sem chances!?
Grato,
Ricardo Lazaro
Fala Ricardo,
É possível sim, mas vai ter que usar outros meios.
Forte abraço!
Bom dia, Luiz
E esses meios, são!?? Alguma palavra para buscar!?
Grato,
Ricardo Lazaro
Ricardo,
Procure sobre alta disponibilidade do squid, provavelmente vai encontrar muita coisa sobre o assunto.
Abraço.
Caro Luiz,
Parabéns pelo trabalho!
Poderia nos auxiliar com uma dúvida? No caso do Certificado, apesar do sync disponibilizar a replicação do certificado, não consegui fazer o 2 pfSense reconhecer o certificado do 1.
É necessário criar um certificado para cada servidor ou há algum macete ou erro nosso?
Grato,
André Luiz
Fala André,
É interessante dar uma revisada nas configurações, como ele da a opção de replicar o mesmo, deveria funcionar sem problemas.
Att,
Boa Noite
Segui os passos de configuração da interface HA porem não foi possivel efetuar o ping, é necessario fazer alguma outra configuração???
Fala Thaiago,
Tudo bem? O passa a passo é exatamente o que está no vídeo, não costumo editar, de uma revisada nas configurações, acredito que seja algum detalhe que acabou passando.
for te abraço.
Boa noite Luiz, beleza?
Cara, fiz aqui tudo seguindo o tutorial e acontece que os dois pfsense ficam como master, alguma ideia?
Outra questão, eu suo o squid e ainda não repliquei para o segundo, pode ter haver?
E eu tinha uma regra de direcionamento de trafego, eu configurei o gateway como alternativo que estava no segundo pfsense, mas não funcionou, alguma ideia?
Abraço
Boa noite Ricardo,
Uma sugestão é revisar todas as configurações, isso já ocorreu comigo mas não me recordo qual era o problema, faça uma revisão, qualquer coisa me chame no Skype, forte abraço!
Boa tarde Luiz,
Muito boa a vídeo aula, funcionou tudo perfeito, fiquei com uma duvida em relação a redirecionamentos na minha WAN, no vídeo vc utilizou um IP local para as WAN, como funcionaria com IPs públicos, 177.203.230.12 etc..
Grande Abraço.
Fala Ezequiel,
Como se trata de alta disponibilidade você precisa pensar também na camada superior ou melhor antes do seu firewall, sendo assim você precisa garantir que os demais itens também esteja e altamente disponível, dois pfsense, antes do pfsense dois switches e os dois modens ou rodeadores das operadoras de internet.
Entre seus modens/routers você vai ter uma rede, está ai o motivo do NAT para os IPs locais.
Espero ter esclarecido sua dúvida, forte abraço e até a próxima!
Boa tarde, ótimo video!
Gostaria de saber como eu faria para ter a redundância do Squidguard.
Por exemplo, eu uso o proxy transparente no PFsense1, setando ele como gateway de rede. Porém, ao setar a HA como Gateway para utilizar a alta disponibilidade, não passa pelo proxy.
Como eu faria para utilizar o CARP e conseguir ter o proxy rodando nos dois PFsense, utilizando o HA como Gateway?
Fala Oliveira,
O CARP ainda não tem esse tipo de replicação, você deve usar outra tecnologia ou recursos próprios do squid e outros.
Att,
Bom dia Luiz,
Para Loadbalancer de servidores(inbound Loadbalancer) utilizando esse H.A.
Conhece alguma restrição ou algum problema?
Ou funciona normal?
Fala Luiz,
Não vejo problemas, pode usar normalmente, obrigado pelo contato e um forte abraço!
Att,
Bom dia Luiz , parabéns pelo exemplo!!
Luiz tive uma pequena complicação , no meu caso tenho um nat redirecionado um ip virtual wan 181.1.2.3 porta 2020 para uma estação local 10.0.0.1 na porta 2020 e outra regra semelhante :
nat ip virtual wan 181.1.2.4 porta 2020 para uma estação local 10.0.0.1
Porém ao fazer HA a regra para de responder e só volta se desabilitar a interface wan do pfsense backup , pode me dar uma força por favor?
Fala amigo,
Precisaria entender melhor sua necessidade e as configurações aplicadas.
Att,
boa tarde!
Tenho uma duvida.
No caso se eu tiver 2 links internet de operadoras diferentes eu ligo 1 link em cada Firewall?
preciso me preocupar em fazer alguma configuração adicional?
Obrigado e Parabéns pela ótima aula Luiz.
Abraços
Fala Fabio,
Você precisa de uma rede antes do firewall, precisaria de Switchs para tratar a alta disponibilidade fim a fim, com isso é possível a utilização dos links em ambos os firewalls.
Caso tenha dúvidas estou a disposição.
Att,