Configuration de la Redondance OPNSENSE (HA/CARP)
Documentation de la mise en place de la haute disponibilité avec CARP et XMLRPC
Informations Generales
- Protocole de redondance : CARP (Common Address Redundancy Protocol)
- Synchronisation : XMLRPC (Configuration) + pfsync (États de connexion)
- Interface dédiée : SYNC (Interface physique ou VLAN supplémentaire)
- IPs Virtuelles : Adresses IP partagées par le cluster.
Prerequis
Avant de commencer, assurez-vous d'avoir :
- Une première machine OPNsense déjà configurée et fonctionnelle (Master).
- Une deuxième machine OPNsense installée avec la même version logicielle (Backup).
- Une interface réseau supplémentaire sur chaque machine pour la synchronisation.
- Un plan d'adressage IP : les IPs réelles des interfaces doivent être différentes sur les deux nœuds.
- Les identifiants administrateur du nœud Backup.
Sommaire
-
Préparation des interfaces
-
Configuration des règles de Pare-feu (SYNC)
-
Configuration de la Haute Disponibilité (XMLRPC)
-
Configuration des IPs Virtuelles (CARP)
-
Vérification et Diagnostic
1. Préparation des interfaces
1.1 Configuration sur le nœud Backup
Créez et configurez la deuxième machine de la même manière que la première. Attention : Les adresses IP de chaque interface (LAN, DMZ, SRV) doivent être uniques.
1.2 Ajout de l'interface de synchronisation
Sur les deux machines, ajoutez une interface réseau dédiée à la synchronisation.
- Allez dans Interfaces -> Assignments.
- Assignez la nouvelle interface et nommez-la SYNC.
- Configurez une IP statique (ex:
10.0.0.1/30pour le Master et10.0.0.2/30pour le Backup).
2. Configuration des règles de Pare-feu (SYNC)
Pour que les deux pare-feu communiquent et synchronisent leurs données, il faut autoriser le trafic sur l'interface SYNC.
- Allez dans Pare-feu -> Règles -> SYNC.
- Ajoutez une règle autorisant tout le trafic sur cette interface :
| Interface | Protocole | Source | Port source | Destination | Port de dest. | Passerelle | Description |
|---|---|---|---|---|---|---|---|
| SYNC | IPv4 * | SYNC net | * | * | * | * | Synchro Redondance OPNSENSE |
Répétez cette opération sur les deux nœuds.
3. Configuration de la Haute Disponibilité (XMLRPC)
Cette étape permet au Master de "pousser" sa configuration vers le Backup automatiquement.
3.1 Paramétrage sur le Master
Allez dans Système -> Haute disponibilité -> Paramètres.
- Synchronize States : Cochez la case et choisissez l'interface SYNC.
- Synchronize Config (XMLRPC) :
- Hostname : Entrez l'IP de l'interface SYNC du deuxième OPNsense (Backup).
- Username : root (ou un compte admin).
- Password : Mot de passe du deuxième OPNsense.
- Synchronize categories : Cochez toutes les catégories (Rules, DHCP, Aliases, etc.).
Cliquez sur Enregistrer.
4. Configuration des IPs Virtuelles (CARP)
L'IP virtuelle (VIP) est l'adresse qui sera partagée. C'est elle qui servira de passerelle pour vos serveurs et clients.
4.1 Création de l'IP Virtuelle
Allez dans Interfaces -> IPs Virtuelles -> Paramètres.
Exemple pour l'interface SRV :
- Mode : CARP.
- Interface : SRV.
- Address : 10.192.193.254 (La gateway actuelle de vos VM).
- VHID : Un nombre unique sur le réseau (ex: 1).
- Password : Un mot de passe partagé pour le groupe CARP.
- Advertising Frequency : Base 1 / Skew 0 (sur le Master).
Note : Répétez l'opération pour chaque interface nécessitant une redondance (WAN, LAN, etc.). Une fois configuré, le Master synchronisera ces VIP vers le Backup.
5. Vérification et Diagnostic
5.1 Vérification de la synchronisation
Sur le Master, retournez dans Système -> Paramètres -> Haute disponibilité et cliquez sur Appliquer.
Connectez-vous ensuite sur l'interface Web du Backup. Allez dans Pare-feu -> Règles : vous devriez voir les règles du Master apparaître automatiquement.
5.2 Statut du cluster
Allez dans Interfaces -> Diagnostics -> CARP Status.
- Le nœud Master doit afficher :
MASTER. - Le nœud Backup doit afficher :
BACKUP.
