Hvor redundant er du?

Som jeg tidligere har skrvet om, så arbejder vi pt på en ny firewall installation til vores Ballerup lokation.

Mandag fik vi vores raisercards, så vores to maskiner ikke mere skal ligne flyvefisk med haleror.

Selvom det i realiteten er et simpelt setup, så er der mange små detaljer. En af detaljerne som man er interesseret i er såkaldt redundant firewalls, dvs. vi har en aktiv, og en backup firewall som overtager hvis den primære maskine forsvinder.

For ikke at miste alle de igangværende sessions, så skulle det gerne være sådan at alle states bliver overført fra den aktive til backup firewallen, så når det sker at den aktive går ned, så vil backup maskinen kunne overtage alle åbne forbindelser uden andet end et lille hik.

Et billed siger som tusinde ord, her er at ønskebilled af vores setup:

Firewalling

Jeg skal præsisere at der er EN streg for meget på det billed i forhold til det faktiske setup, stregen fra front switch 1b til internettet eksistere desværre endnu ikke. Det er en relativ dyr fornøjelse at få denne absolut sidste redundant ting når vi snakker 100Mbit flatrate i erhvervskvalitet.

Det som man ikke kan se, er at vores datacenter også levere strøm i A og B feeds, dette er to seperate forsyninger, med hver deres UPS og dieselgenerator. Et helt igennem fantastisk setup. Der er naturligvis strenge regler for arbejde på strøm. Men forsyningen kan gå på et enkelt feed, men det må medberegnes, og sikres via en ATS til de maskiner der kun har en enkelt strømforsyning og som ikke er redundant som feks vores firewall setup er.

Vores switche (SW1A og SW1B) efter firewall’en (evt flertal om du vil), er som du ser, ikke 101% redundant. Dette er også et udtryk for at nogle af vores tilsluttet maskiner, eller kundemaskiner, desværre ikke har redundant tilsluttet netværksledninger. En detalje som vi endnu ikke helt har fået lavet redudant efter flytningen fra TDC, hvor alt var langt mere singletreaded, og uden egentlig grund til at tænke på redundant setup.

Hvad med PFsense og opsætning?

Ud over tegningen ikke rigtig tager hensyn til trunk’s og vlan’s, så er der en del andre ting man ikke kan se på tegningen.

Feks:

– Du har rigtig nok et redundant setup, dvs, firewall regler og alias, nat og andre ting kopieres over fra den ene firewall til den anden, men ikke visa versa, kun den aktive firewall state, dvs, åbne connections deles 100%. Alt opsætning af regler SKAL ske på FW1A (og bliver straks replikeret til FW1B). Laver man den opsætning, som man godt kunne foranlede til at tro vil virker, nemlig at replikere fra FW1A -> FW1B og FW1B -> FW1A, så vil man opleve at alle nye regler bare “forsvinder”, da de bliver overskrevet af den anden firewall :) Der er intet i PFsense som forhindre en i at lave dette tåbelige setup :)
Det tog mig et par sekunder at regne ud:))

At lave vlan’s, og oprette interfaces er relativt kedeligt. Der mangler dog lidt GUI l337ness for at få det helt transperant overfor brugeren hvilket interface man opretter sit vlan interface på, den defaulter ned til betegnelsen for netkortet, her “emX”, isf at bruge lan, wan, opt1 osv (eller det man nu har navngivet interfacet).

Jeg har brugt det meste af dagen på at replikere vores nuværende regler over i det nye setup. En triviel og mærkelig ting, da reglerne absolut ikke skal oversættes 1:1.
Dagens absolut mest sexede oplevelse var klart testen med det fulde setup (dog kun en switch foran og en bagved, men med begge firewalls). man ssh’er udefra ind, og startet top på maskinen bagved hele setupet i sin ssh session, derefter rebooter man den aktive firewall.. mens den er ved at reboote, slår backup maskinen over i active mode, den overtager den Virtuel IP adresse som der er sat op i carp, og allerede 2-3 sekunder efter er top igen aktivt.. *RRR* :)
Planen var at sætte setupet i produktion om ca 24 timer. Vi håber det bedste, det ser rigtig godt ud (jeg skal nok tage flere billeder) :)

  1. Geddeth

    June 21, 2007 at 7:31 pm

    Det lyder som en rigtig cool ting. Det er fedt når man kan teste den type af systemændringer, bevare overblikket og bagefter være 99.9% sikker på at det vil gå godt og man ikke har overset noget. :)

    Go fornøjelse med opsætningen. 8-)

  2. czar

    June 21, 2007 at 8:08 pm

    jeg tør godt sige det ikke gik helt som planlagt, desværre.

    Firewall reglerne i en pf og i pfsense reagerede på en anden måde end forventet.

    Men efter en let reconfigurering af alle regler, så virker det… Faktisk er jeg på vej op for at lave en af de sidste tests.. (reboot af aktiv firewall..), så lad os se :P

  3. Jacob Bach Pedersen

    June 26, 2007 at 9:48 pm

    Hvorfor er det link mellem switchene ? Hvad har dette af funktion?

    Mvh Jacob

  4. Morten

    July 30, 2007 at 10:18 pm

    Hvorfor har du switche foran dine firewalls? det virker unødvendigt hvis tegningen viser hele dit setup.

  5. czar

    July 31, 2007 at 9:35 am

    Hej morten

    Grunden til der er to små switche foran firewall setupet er, at der teoretisk er 2 linier ind (er der så ikke endnu, men setup er klargjort til det).

    Hver linie går i hver sin switch, og dermed er der en rimelig chance for at hvis den ene side (A) mangler strøm, så er B side stadig oppe, og omvendt.

    Det som måske ikke er forklaret, er at A og B notationen er forskellig strøm.

  6. Dan Hemsø

    August 24, 2012 at 11:02 am

    Hej…

    AAArrggghhh… Der mangler lige det billede som jeg kunne bruge til at vise din løsning frem..
    Er det mon muligt at du kan skaffe det igen..??

    MVH

    Dan Hemsø

Comments are closed.