¶ OPNSense con Alta Disponibilidad
En esta página veremos como configurar dos OPNSense para tener alta disponibilidad y prevenir problemas en caso de que uno falle. En este caso, el funcionamiento es simple, uno de los OPnsense actuará como nodo master y será el que gestione la red, el otro estará como backup y monitorizará al primero para, en caso de fallar, utilizar su configuración y funcionar en su lugar.
¶ Pasos previos
- Crearemos las instancias de los firewalls en la red externa.
Configuración básica OPNSense- Crearemos 2 redes, una donde estarán los equipos de trabajo y otra para que se comuniquen los dos opnsense.
- Tras la creación de las redes, conectaremos los firewalls a ambas redes y tendremos que prestar atención a la MAC de los puertos para luego no confundirnos en la configuración de OPNSense.
¶ Configuración dentro de los OPNSense
Tras realizar los pasos previos comentados, podremos acceder a la configuraciñon de los firewalls mediante la IP externa de los mismos en el navegador.
Lo primero será asignar las interfaces de las redes LAN y SYNC en ambos firewalls y habilitarlas siguiendo el siguiente ejemplo:
Antes de seguir es recomendable revisar las reglas de Firewall para asegurarnos que se permite el tráfico en las diferentes interfaces.
Continuaremos configurando la alta disponibilidad en el master, para ello nos iremos a System > High Availability > Settings y lo configuraremos siguiendo el ejemplo:
Con esto, en caso de fallo, le dará al backup toda la configuración que tenga guardada en función de los servicios que hayamos seleccionado, en este caso: DHCPD, Firewall Rules, NAT y Virtual IPs.
Con esto hecho, ahora configuraremos lo mismo en el backup, en este caso solo rellenaremos los campos de General Settings:
De esta forma ya se apuntan entre ellos y podrán pasar la información correctamente cuando el master falle y así, el backup pueda desempeñar su función.
Con esto hecho, solo queda configurar IPs virtuales que apunten a una IP externa y otra que apunte a la Gateway de la red LAN para dar conectividad a las máquinas que tengamos en esa red.
Para ello nos iremos a Interfaces > Virtual Ips > Settings y lo dejaremos así:
Antes de añadir la VIP de la WAN, tendremos que añadir el par de direcciones a ambos OPNSense.
Pares de direccionesHabiendo añadido los pares de direcciones, ya podemos configurar la Virtual IP de la WAN:
Con todo esto, ya deberíamos tener funcionando los dos OPNSense en Alta Disponibilidad.