PFSense с аварийным переключением нескольких WAN
У меня есть два Linux-сервера, на которых запущен PFsense, один из них является главным, а другой - резервным. Мастер имеет IP 192.168.1.2, а резервная копия - 192.168.1.3. Я создал VIP 192.168.1.1, который является шлюзом по умолчанию для всех систем в локальной сети.
И в главном, и в резервном у меня есть два интерфейса WAN1 и WAN2, которые подключаются к двум другим машинам Linux (без PFSense), которые, в свою очередь, подключаются к ISP. Я создал группы шлюзов для балансировки нагрузки и аварийного переключения.
Все системы в локальной сети имеют доступ к Интернету, даже если какая-либо из систем ISP или брандмауэра (PFSense) выходит из строя. Представленная ниже архитектура отлично подходит для балансировки нагрузки между провайдером и аварийным переключением.
Проблема возникает при подключении по SSH. Если какая-либо из систем выходит из строя, соединение SSH разрывается, поэтому я должен перезапустить соединение.
Какие изменения необходимы в архитектуре, чтобы соединения SSH не прерывались даже при выходе из строя какой-либо из систем?
Предполагая, что интерфейсы WAN1 и WAN2 обеих машин имеют общедоступные IP-адреса, соответствующие ISP, вам необходимо убедиться, что у вас также есть VIP на стороне WAN для обеих сетей ISP, настроенных в CARP, поскольку настройка групп шлюзов не кажется также создать VIP.
например
Для ISP-1 у вас может быть:
Master.WAN1 166.10.15.1
Backup.WAN1 166.10.15.2
CARP VIP 166.10.15.3
Это гарантирует, что IP-адрес источника не изменится при переносе сеанса pfSense. Тогда вам понадобится такой же тип конфигурации для ISP-2.
Проблема в том, что хотя это будет поддерживать SSH (или любой активный сеанс TCP) для переключения PFSense Master на PFSense Backup, это не поможет, если активный ISP-x откажет, поскольку диапазон IP-адресов для каждого ISP будет быть другим, что мешает pfSense поддерживать сеанс.