VietNetwork.Vn

1. Giới thiệu.

pfSense là một ứng dụng mã nguồn mở có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép các bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Với nhiều ưu điểm của nó nên được phổ biến ở mọi nơi, từ nhà riêng đến các doanh nghiệp. Trong bài viết sau mình sẽ hướng dẫn các bạn cấu hình một pfSense 2.0 Cluster bằng cách sử dụng CARP Failover.

2. Cài đặt và cấu hình.

2.1. Yêu cầu hệ thống.

Yêu cầu hệ thống để thực hiện quá trình này chúng ta cần hai máy tính giống hệt nhau, với tối thiểu 3 card mạng và một subnet dành riêng cho đồng bộ hóa lưu lượng mạng (network traffic).
Địa chỉ IP và cấu hình mạng sẽ được sử dụng trong bài viết này như sau đây.

Firewall 1 

• WAN IP: 192.168.100.1
• SYNC IP: 10.155.0.1   
• LAN IP: 192.168.1.252

Firewall 2

• WAN IP: 192.168.100.2
• SYNC IP: 10.155.0.2
• LAN IP: 192.168.1.253

Hai địa chỉ IP dưới đây dùng để chia sẻ giữa các tường lửa với nhau.

• IP mạng WAN ảo: 192.168.100.200
• IP mạng LAN ảo: 192.168.1.254

Trong hướng dẫn này mình giả sử rằng các bạn đã cài đặt sẵn pfSense trên cả hai máy tính và card mạng đã cấu hình với địa chỉ IP và người dùng từng có kinh nghiệm làm việc với pfSense, chủ yếu là xung quanh giao diện quản trị pfSense qua web.

2.2. Xây dựng và cấu hình Cluster.

Trước tiên các bạn cần cấu hình một quy tắc tường lửa trên cả hai ô để cho phép các tường lửa giao tiếp với nhau trong thẻ SYNC.

• Để làm điều này, các bạn hãy nhấn chuột vào "Firewall > Rules", chọn SYNC tại mục Interface.
• Nhấn vào nút Plus để thêm một firewall rule mới. Thiết lập "Protocol" cho "any", thêm một mô tả để có thể xác định quy tắc.
• Nhấn Save và sau đó nhấn Apply Changes để lưu lại cấu hình cho tường lửa pfSense.

Vẫn trên mục Backup của tường lửa, ở đây chúng ta cần cấu hình đồng bộ hóa CARP và cấu hình cho nó chỉ là một bản sao.

• Nhấn vào "Firewall > Vitrual IPs > Firewall > Vitrual Ips", đánh dấu tích vào hộp thoại "Synchronize Enabled". Chọn "Synchronize Interface to SYNC".
• Sau đó lưu lại sự thay đổi này.

Sau khi đã hoàn thành việc cấu hình sao lưu tường lửa, bây giờ chúng ta tiến hành cấu hình đồng bộ hóa CARP trên tường lửa chính.

• Đăng nhập vào firewall chính của các bạn, nhấn vào "Firewall > Virtual Ips", chuyển sang thẻ "CARP Settings" và đánh dấu tích vào hộp "Synchronize Enabled".
• Tại mục Synchronize Interface chọn "SYNC" làm mặc định, đánh dấu tích vào các hộp thoại dưới mục "Synchronize Rules", "Synchronize NAT", "Synchronize Virtual IPs".Sau đó nhập địa chỉ IP SYNC của bản sao tường lửa vào hộp thoại "Synchronize to IP" và thiết lập mật khẩu tại hộp thoại "Remote System Password".
• Nhấn Save để lưu sự thay đổi.

Tiếp theo chúng ta cấu hình Virtual IP Address cho cả hai tường lửa sẽ sử dụng.

• Để làm điều này các bạn hãy vào "Firewall > Virtual IPs" và chuyển sang thẻ "Virtual IPs".Trước tiên là thiết lập địa chỉ IP cho mạng WAN của mục Interface, nhấn vào nút Plus để thêm mới địa chỉ IP ảo, các bạn hãy chắc chắn rằng kiểu địa chỉ IP đãđược thiết lập ở CARP. Địa chỉ WAN này sẽ được sử dụng trên toàn hệ thống của bạn bất kể tường lửa chính hoặc bản sao được kích hoạt.
• Tiếp theo chúng ta hãy tạo một mật khẩu trong hộp thoại "Virtual IP Password", giữ nguyên giá trị 1 đối với "VHID Group" và giá trị 0 đối với "Advertising Frequency", thêm một chút mô tả tại mục Description và nhấn Save để lưu lại cấu hình.

Tương tự như vậy, chúng ta cấu hình Virtual IP address cho mạng LAN trong mục Interface. Các bước tiến hành cũng không có gì khác so với hướng dẫn ở trên đối với WAN, riêng phần "VHID Group" các bạn thay vào giá trị là 3, ghi vào một mô tả gì đó khác một chút rồi nhấn Save để lưu sự thay đổi.

Và giờ đây các bạn sẽ nhìn thấy trong mục "Firewall > Virtual IPs" xuất hiện danh sách hai IPs ảo theo kiểu CARP.

Nếu đăng nhập vào giao diện quản trị Web của tưởng lửa backup và nhấn vào "Firewall > Virtual IPs" các bạn sẽ thấy các virtual IPs Address đã được đồng bộ với firewall backup.

Bây giờ là lúc chúng ta sẽ xem nó hoạt động như thế nào. Hai tường lửa pfSense sẽ liên tục đồng bộ các quy tắc của chúng cho nhau bao gồm NAT, virtual IPs và bất kỳ thiết lập nào khác mà các bạn đã chọn trong mục tùy chọn Synchronize. Vì lý do nào đó mà tường lửa chính bị ngưng hoạt động thì lúc nãy bản sao của nó vẫn đảm nhiệm và làm việc liên tục bình thường.

Trong điều kiện thử nghiệm, các bản sao tường lửa sẽ tiếp nhận với độ trễ là 10 giây, bởi vì hệ điều hành freeBSD sẽ áp dụng các địa chỉ IP ảo này cho các giao diện một khi bị mất kết nối với tường lửa chính.

2.3. Thử nghiệm Failover sau khi đã xây dựng xong Cluster.

Các bạn có thể thử nghiệm Failover bằng cách rút cáp mạng hoặc tắt tường lửa chính trong khi vẫn liên tục sử dụng lệnh ping tới địa chỉ IP của LAN hoặc WAN. Các bạn sẽ nhận thấy các địa chỉ IP giảm xuống một vài giây trong các tường lửa khác.

Đúng cái đang cần tìm, bookmark lại mai mốt vào kiếm đọc lại sau. Thanks kiu chủ thớt nhiều :)

Thông tin của bạn rất đáng tham khảo với người xem. Tôi theo dõi đã tìm được nhiều thứ. Mong rằng bạn sẽ tiếp tục chia sẻ với mọi người.

Cam on ban da chia se