Le clustering avec pfSense

Chez TutoTech, notre mission est de partager notre savoir-faire pour aider chacun à développer ses compétences en informatique. 

Aujourd'hui, nous sommes ravis de vous présenter notre tout premier tutoriel technique ("tuto tech"), spécialement conçu pour les étudiants, les passionnés, les formateurs et les professionnels du secteur informatique.

Le tutoriel "Clustering avec pfSense" que nous vous proposons est une introduction complète et pratique à la mise en place d'un cluster haute disponibilité avec pfSense, une solution de pare-feu et de routage open-source. 

Ce tutoriel a été testé et validé dans plusieurs classes d'Administrateurs d'Infrastructures Sécurisées (AIS) en formation, ce qui garantit qu'il est sans bug et parfaitement compréhensible. Il sera maintenu à jour en tenant compte des retours de nos apprenants et de l'évolution des technologies. 

Grâce à cette expérience en classe, nous pouvons vous assurer que même un débutant pourra le suivre sans difficulté ! 

Voici la description détaillée du document :

Ce support complet de travaux dirigés (+ de 40 pages) détaille la mise en place d'une solution de Haute Disponibilité (High Availability - HA) avec deux pare-feux pfSense configurés en cluster "Failover" (basculement actif/passif).

1. Concepts Théoriques

Le document introduit les protocoles clés nécessaires au fonctionnement du cluster :

• CARP (Common Address Redundancy Protocol) : Permet de partager une adresse IP virtuelle (VIP) entre plusieurs hôtes. C'est cette IP que les clients utilisent comme passerelle, assurant la continuité du service si le maître tombe.

• pfsync : Synchronise la table d'états (state table) des connexions entre les pare-feux. Cela permet au pare-feu secondaire de reprendre les connexions actives sans coupure pour les utilisateurs.

• XML-RPC : Assure la réplication automatique de la configuration (règles, NAT, etc.) du nœud primaire vers le nœud secondaire.

2. Environnement du Lab

Le TP est réalisé sous VMware Workstation avec une architecture réseau précise :

• Réseau WAN (VMnet8 - NAT) : Simule l'accès internet.

• Réseau LAN (VMnet19 - Host-Only) : Simule le réseau interne de l'entreprise.

• Réseau SYNCHRO (LAN Segment) : Un lien dédié (impératif pour la sécurité et la performance) pour les échanges pfsync/XML-RPC entre les deux nœuds.

• Matériel : Deux VMs pfSense (Master et Backup) avec trois interfaces réseau chacune (WAN, LAN, SYNC).

3. Étapes de Configuration

Le guide accompagne l'apprenant pas à pas :

• Installation et Configuration de base : Installation de l'OS pfSense et attribution des IPs statiques.

• Préparation à la HA : Création d'un utilisateur dédié (ha-user) avec les privilèges spécifiques pour la synchronisation.

• Règles de Pare-feu : Configuration minutieuse des règles sur l'interface de synchronisation pour autoriser le trafic XML-RPC et pfsync entre les nœuds.

• Activation du Cluster : Paramétrage du menu High Availability Sync pour activer la réplication vers l'IP du voisin.

• Virtual IPs (VIPs) : Création des adresses IP virtuelles de type CARP sur les interfaces LAN et WAN.

• NAT Hybride : Modification des règles de NAT sortant pour s'assurer que le trafic sort bien avec l'adresse VIP (et non l'IP physique du serveur), garantissant la connectivité en cas de bascule.

4. Configuration Avancée et Tests

• Agrégation de liens (LACP) : Une section importante (Partie VI) explique comment renforcer la fiabilité du lien de synchronisation en créant un agrégat de liens (LAGG) avec deux interfaces physiques virtuelles, augmentant la tolérance aux pannes de câbles/ports.

• Validation : Le document propose des exercices pour tester la résilience : couper le maître, vérifier que le statut CARP passe de "BACKUP" à "MASTER" sur le second nœud, et confirmer que la connexion internet des clients n'est pas interrompue.

5. Annexes et Dépannage

Le document se termine par des astuces pratiques pour résoudre les problèmes courants (ping impossible entre les VIPs, passage du clavier en AZERTY via kbdcontrol, autorisation temporaire de l'administration via le WAN).