OVH Community, votre nouvel espace communautaire.

pCC : pFSENSE en CARP / HA et promiscuous


aniodon
09/01/2016, 17h15
Problème résolu.

Pour ceux qui auraient le même souci : Il existe une option sous esx, au niveau de la VM, appelée "Activate CARP", qui se charge d'activer le promiscuous sur les interfaces wan.

Dommage que je n'ai pas été dirigé vers cette option plus tôt par le support ;(

A bientôt !

aniodon
06/01/2016, 15h40
Salut Captain !

L'objectif est simple, il s'agit d'effectuer un failover sur un pare feu PFSENSE :
CF lien PFSENSE officiel

c'est une solution native, out of box, ne nécessitant pas de solution tierce.
Elle repose sur le protocole CARP qui fait un cluster d'ip (vers virtuelle donc), qui pour vérifier son statut (santé) utilise le promiscuous sur les interfaces.

Au sujet du promiscuous, l'assistance reste vague :
"Ce blocage a pour but de vous éviter de mettre en place des failles de
sécurité, car en faisant cela une personne tentant d'avoir des informations
sur votre réseau pourrait obtenir par exemple les adresses MAC sources et de
destination.

Pour ces mêmes raisons, nous ne proposons pas son activation, même manuelle,
bien que cela soit techniquement possible."

Aussi, j'ai donc été invité à me renseigner auprès d'autres clients ayant monté avec succès cette solution...

aniodon
06/01/2016, 13h03
[doublon]

aniodon
06/01/2016, 12h55
[doublon]

captainadmin
06/01/2016, 12h03
Bonjour,

Si je ne me trompe pas, l'objectif est de basculer le service dés qu'il y a un problème coté Wan ou coté Lan ?
Je pense à 2 solutions:
Soit tu as un service externe qui vérifie que les routes soient fonctionnelles quelque soit le serveur utilisé en sortie.
Soit la solution la plus simple et je pense la plus propre pour ton besoin, c'est de mettre un petit vpn sur ton Wan et comme ca tu pourras écouter les interfaces sans problèmes. Ca te permettra d'échanger les données entre tes firewall sans soucis et tu vérifieras que l'interface Wan soit fonctionnelle en permanence.

Ce que je ne sais pas c'est pourquoi on a pas le droit au promiscuous mode
Sans doute Ovh qui a peur qu'on écoute un peu trop le trafic sur les équipements mais normalement on ne devrait pas voir grand chose qui ne nous appartient pas.

Bonne journée
http://www.captainadmin.com

aniodon
05/01/2016, 22h52
Bonjour,

j'aurais souhaité avoir un retour d'expérience de personnes ayant réussi à mettre correctement en place un PFSENSE en HA (donc redondé), avec CARP sur les LAN et WAN.

En effet, côté LAN aucun souci, les vrack permettent d'activer le promiscuous

côté WAN je sèche, le promiscuous n'est pas disponible et visiblement pas souhaitable.

faut il effectuer la mise en place du CARP WAN sur un VRACK dédié, et NAT vers les Interfaces WAN ?

Comment avez-vous fait ?

Merci pour votre retour !

Olivier