Cluster d'OPNsense (HA) avec CARP et synchros des conf
Soient 3 Ordinateurs Virtuels :
- PF01 (pare-feu sous OPNsense 25.1)
- PF02 (pare-feu sous OPNsense 25.1)
- CLIENT (Windows 11 Pro)
PF01 et PF02 vont être montés en cluster, en Haute Disponibilité, grâce au protocole CARP.
Dans notre cas de figure (labo), les 2 pare-feux seront reliés à COM_EXT (commutateur virtuel externe sur un réseau LAN extérieur).
L'objectif étant que si l'un des 2 pare-feux tombe, le second prend le relai instantanément.
Pour cela une VIP (Adresse IP Virtuelle) sera créée côté LAN, afin que les postes clients n'utilisent que cette unique passerelle.
La pare-feu MASTER en sera propriétaire, et si ce dernier tombe, le second (BACKUP) se l'appropriera.
PF01 et PF02 ont tous deux 3 cartes réseaux :
- COM_EXT (commutateur externe donnant accès à internet)
- COM_INTER (commutateur privé entre PF01 et PF02 pour la connexion directe entre les 2 pare-feux)
- COM_LAN (commutateur privé reliant PF01, PF02 et CLIENT).
Pour obtenir un fonctionnement du cluster, il est nécessaire d'activer l'usurpation des adresses MAC sur les interfaces reliées à COM_EXT et à COM_LAN dans les paramètres des Ordinateurs Virtuels.
Configuration initiale des PF
Faire l'assignation des cartes (Attention à l'ordre des cartes réseau !)
1) COM_EXT (placé en premier, apparaîtra donc en premier sur OPNsense - hn0)
2) COM_INTER (placé en second, apparaîtra donc en second - hn1 -, sauf qu'on la configurera plutôt en tant qu'interface optionnelle - OPT1 !)
3) COM_LAN (placé en troisième, apparaîtra donc en troisième position -hn2 - -> LAN)
Attribuer les adresses IP conformément au schéma.
Configuration IP initiale du CLIENT
Nous désignons PF01 comme passerelle pour commencer.
Se connecter aux interfaces web des 2 pare-feux depuis le CLIENT
Suivre les wizard d'installation, et ne pas oublier de décocher la RFC1918 sur l'interface WAN !
(nous sommes en labo ! Notre côté WAN est non routable).
Configuration de la VIP côté LAN
Dans notre exemple, PF01 sera le MASTER (principal) et PF02 le BACKUP (secours).
Lors de l'édition de l'IP Virtuelle, passez directement en mode avancé pour pouvoir configurer la priorité.
Choisissez un mot de passe commun aux 2 PF.
Nous configurerons donc un skew à 0 pour PF01 pour signifier la priorité la plus haute, et un skew à 1 ou 100 pour PF02.
N'oubliez pas de sauvegarder !
Configurer la Haute Disponibilité entre les 2 PF
Pas de Haute Disponibilité sans partage des configurations et des matrices de flux entre les pare-feux !
La synchronisation des configurations se configure UNIQUEMENT sur le PF MASTER. (PF01).
Entrez un utilisateur autorisé à faire des manipulations sur le PF d'en face (généralement, on évite de mettre root comme ici, afin de ne pas donner trop de privilèges ! Je vous laisse faire cela !)
Il est préférable de créer un utilisateur ayant uniquement les privilèges nécessaires
(System - HA node synchronization)
A vous de sélectionner toutes les configurations qui vous semblent nécessaires.
(règles de pare-feu, logs, VPN, unbound etc.). Vous pouvez tout cocher.
N'oubliez pas de sauvegarder à la fin, sur chaque PF !
Autoriser l'échange de données entre les 2 PF sur leurs interfaces OPT1.
Il faut créer une règle autorisant la communication entre PF01 et PF02 sur le réseau lié à OPT1 (OPT1 net).
N'oubliez pas d'appliquer votre règle.
A ce moment, on vous signale que vous devez synchroniser vos données.
Cliquez alors sur "System : Haute Disponibilité : Statut"
Relancer la synchronisation entre les PF
Cliquez simplement sur la roulette en bas.
Vos pare-feux sont à présent synchronisés et configurés en Haute Disponibilité.
Test du cluster
Pour tester, configurez désormais le CLIENT avec la VIP LAN (10.10.10.5) en tant que passerelle.
Faîtes un tour sur internet.
Assurez-vous de pouvoir vous connecter à site web, puis coupez PF01 !
La connexion passera désormais par PF02 sans que la connexion internet ne coupe.