projet de firewalls distants redondants actif-actif

classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|

projet de firewalls distants redondants actif-actif

Comète-2
Bonjour,

voilà j'ai dans l'idée d'ajouter une 2ème connexion au net (chez un FAI
différent) sur notre réseau et donc un 2ème firewall PF. Le tout devra
fonctionner en mode actif-actif et devra être capable de supporter une
panne de l'une ou l'autre des connexions(ou firewalls).

Nous disposons de 2 réseaux locaux interconnectés par une liaison
hertzienne. Chacun de ces 2 réseaux disposera donc au final d'une
connexion au net, d'un firewall et d'une DMZ hébergeant un serveur
DNS/SMTP entre autres. Les requêtes entrantes/sortantes pourront se
faire sur chacun des liens WAN, sachant que si l'un est HS, tout sera
routé vers le second.

J’envisageais d'utiliser CARP+pfsync pour réaliser cela mais je me
demandais si d'une part CARP pouvait fonctionner en mode actif-actif ?

Et d'autre part, si l'interface associée à pfsync pouvait être une
interface vlan, un lien physique étant impossible dans notre cas car les
firewalls étant distants ?

Si vous aviez, par ailleurs, quelques docs à me conseiller sur le sujet,
n'hésitez pas ;)

Merci de vos conseils

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: projet de firewalls distants redondants actif-actif

aleph nevel
bonjour,

Il me semble bien que carp supporte le mode actif-actif (openbsd 4.8 ok).

Voici un lien: http://www.kernel-panic.it/openbsd/carp/

Sinon concernant de mettre en oeuvre pfsync sur une interface de type
vlandev, il n'y a pas de soucis particulier:j'avais fait un maquette avec
deux pc avec chacun une carte réseau.

Tu peux combiner avec un relayct pour assurer une haute disponibilité.

J'ai mis en place un cluster de parefeu ci dessus pour une collectivité
territoriale:ca fonctionne bien !

Cordialement.

Aleph.





Le 13 janv. 2012 21:58, "Comète" <[hidden email]> a écrit :
Reply | Threaded
Open this post in threaded view
|

Re: projet de firewalls distants redondants actif-actif

Comète-2
Merci beaucoup pour ces infos. C'est aussi, dans mon cas, pour une
collectivité territoriale. Je vais regarder cela de prêt.

Merci encore.

Cordialement.

Morgan

Le 14/01/2012 11:55, aleph nevel a écrit :

> bonjour,
>
> Il me semble bien que carp supporte le mode actif-actif (openbsd 4.8 ok).
>
> Voici un lien: http://www.kernel-panic.it/openbsd/carp/
>
> Sinon concernant de mettre en oeuvre pfsync sur une interface de type
> vlandev, il n'y a pas de soucis particulier:j'avais fait un maquette avec
> deux pc avec chacun une carte réseau.
>
> Tu peux combiner avec un relayct pour assurer une haute disponibilité.
>
> J'ai mis en place un cluster de parefeu ci dessus pour une collectivité
> territoriale:ca fonctionne bien !
>
> Cordialement.
>
> Aleph.
>
>
>
>
>
> Le 13 janv. 2012 21:58, "Comète"<[hidden email]>  a écrit :
>

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: projet de firewalls distants redondants actif-actif

ostrasker
Plus simple, pour les moins geeks. Il y a virtualbox, choisir réseau
interne .... . Et voilà, tu as X connexions internet, X servers, X
firewalls.

Le 14 janvier 2012 15:24, Comète <[hidden email]> a écrit :

> Merci beaucoup pour ces infos. C'est aussi, dans mon cas, pour une
> collectivité territoriale. Je vais regarder cela de prêt.
>
> Merci encore.
>
> Cordialement.
>
> Morgan
>
> Le 14/01/2012 11:55, aleph nevel a écrit :
>
>> bonjour,
>>
>> Il me semble bien que carp supporte le mode actif-actif (openbsd 4.8 ok).
>>
>> Voici un lien: http://www.kernel-panic.it/**openbsd/carp/<http://www.kernel-panic.it/openbsd/carp/>
>>
>> Sinon concernant de mettre en oeuvre pfsync sur une interface de type
>> vlandev, il n'y a pas de soucis particulier:j'avais fait un maquette avec
>> deux pc avec chacun une carte réseau.
>>
>> Tu peux combiner avec un relayct pour assurer une haute disponibilité.
>>
>> J'ai mis en place un cluster de parefeu ci dessus pour une collectivité
>> territoriale:ca fonctionne bien !
>>
>> Cordialement.
>>
>> Aleph.
>>
>>
>>
>>
>>
>> Le 13 janv. 2012 21:58, "Comète"<[hidden email]>  a écrit :
>>
>>
> ______________________________**__
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/**communaute.php<http://www.openbsd-france.org/communaute.php>
>
>
Reply | Threaded
Open this post in threaded view
|

Re: projet de firewalls distants redondants actif-actif

Philippe Schwarz
Le 14/01/2012 21:20, ostrasker a écrit :
> Plus simple, pour les moins geeks. Il y a virtualbox, choisir réseau
> interne .... . Et voilà, tu as X connexions internet, X servers, X
> firewalls.
....

Virtualiser des firewalls sur la même machine afin qu'ils soient
redondants en ne les faisant communiquer qu'avec l'hôte ???
:-)

Comment dire..
Je ne vois pas bien le rapport ni avec le thread, ni avec les attendus:
Haute dispo, pare-feu en coupure, maintien des états, des connexions, ..

Cdlt.

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: projet de firewalls distants redondants actif-actif

Denis Fondras
Bonsoir,

> Je ne vois pas bien le rapport ni avec le thread, ni avec les attendus:
> Haute dispo, pare-feu en coupure, maintien des états, des connexions, ..
>

J'ai pensé la même chose en première lecture mais au final peut-être
qu'il voulait donner une piste pour monter un lab afin que "Comète-2"
vérifie que CARP marche en A/A et que vlan(4) peut servir de syncdev
pour pfsync(4). Mais son "pour les moins geeks" me fait douter :D

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: projet de firewalls distants redondants actif-actif

ostrasker
In reply to this post by Philippe Schwarz
Oui, mais au moins tu vois le bon fonctionnement de tes régles de firewall
et de tes parmétres systéme....

Le 14 janvier 2012 22:44, Philippe Schwarz <[hidden email]> a écrit :

> Le 14/01/2012 21:20, ostrasker a écrit :
> > Plus simple, pour les moins geeks. Il y a virtualbox, choisir réseau
> > interne .... . Et voilà, tu as X connexions internet, X servers, X
> > firewalls.
> ....
>
> Virtualiser des firewalls sur la même machine afin qu'ils soient
> redondants en ne les faisant communiquer qu'avec l'hôte ???
> :-)
>
> Comment dire..
> Je ne vois pas bien le rapport ni avec le thread, ni avec les attendus:
> Haute dispo, pare-feu en coupure, maintien des états, des connexions, ..
>
> Cdlt.
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>
Reply | Threaded
Open this post in threaded view
|

Re: projet de firewalls distants redondants actif-actif

ostrasker
In reply to this post by Denis Fondras
Pour les personnes qui ne se voient pas encore monté un réseau en dur.
Faire sur réseau en virtuel, répond a de nombreuses questions et éclaircie
de nombreux points.

Le 14 janvier 2012 22:56, Denis Fondras <[hidden email]> a écrit :

> Bonsoir,
>
>  Je ne vois pas bien le rapport ni avec le thread, ni avec les attendus:
>> Haute dispo, pare-feu en coupure, maintien des états, des connexions, ..
>>
>>
> J'ai pensé la même chose en première lecture mais au final peut-être qu'il
> voulait donner une piste pour monter un lab afin que "Comète-2" vérifie que
> CARP marche en A/A et que vlan(4) peut servir de syncdev pour pfsync(4).
> Mais son "pour les moins geeks" me fait douter :D
>
> ______________________________**__
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/**communaute.php<http://www.openbsd-france.org/communaute.php>
>
>
Reply | Threaded
Open this post in threaded view
|

Re: projet de firewalls distants redondants actif-actif

Comète-2
In reply to this post by aleph nevel

Le 14/01/2012 11:55, aleph nevel a écrit :

> bonjour,
>
> Il me semble bien que carp supporte le mode actif-actif (openbsd 4.8 ok).
>
> Voici un lien: http://www.kernel-panic.it/openbsd/carp/
>
> Sinon concernant de mettre en oeuvre pfsync sur une interface de type
> vlandev, il n'y a pas de soucis particulier:j'avais fait un maquette avec
> deux pc avec chacun une carte réseau.
>
> Tu peux combiner avec un relayct pour assurer une haute disponibilité.
>
> J'ai mis en place un cluster de parefeu ci dessus pour une collectivité
> territoriale:ca fonctionne bien !
>
> Cordialement.
>
> Aleph.
>
>
>
>
>
> Le 13 janv. 2012 21:58, "Comète"<[hidden email]>  a écrit :
>

Bonjour,

j'ai parcouru le tutoriel que tu m'as indiqué mais il semble que le mode
"ip load-balancing" évoqué pour permettre le fonctionnement en mode
actif-actif envoie en permanence tous les paquets aux deux firewalls, ce
qui dans mon cas risque de saturer la liaison hertzienne entre les deux
réseaux.

Sais-tu s'il existe un moyen d'indiquer un firewall "préféré" pour
chaque réseau ?

Sinon j'ai pensé utiliser OSPFD mais j'avoue n'avoir aucune expérience
avec ce protocole...

Toute suggestion est la bienvenue ;)

Merci

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php