Hohe Verfügbarkeit für eine transparente Pfsense-Firewall?

PFsense hat eine eingebaute Hochverfügbarkeit, die einige Dinge nutzt. Es verfügt über CARP, um Failover für seine LAN- und WAN-IPs bereitzustellen, und es verfügt über ein eigenes Konfigurationssynchronisationsprotokoll.

Stellen Sie sich vor, es gibt zwei Pfsense-Firewalls mit einem dedizierten / 30 (oder / 126 auf IPv6) -Netzwerk, über das sie kommunizieren können. Jeder von ihnen verfügt auch über mindestens zwei zusätzliche Netzwerkanschlüsse. Beschreiben wir sie jetzt als WAN / LAN.

PFsense kann auch in den "Bridge" -Modus versetzt werden. Durch die Überbrückung des WAN / LAN kann ich einen Router an seinen WAN-Port anschließen, der als DHCP / DNS für die LAN-Seite fungieren kann. In der PFsense-Box werden dann nur Pakete gefiltert.

Nun stellen Sie sich vor, dass dies nicht für ein privates Netzwerk, sondern für ein öffentliches Netzwerk erfolgt. Beachten Sie, dass IP4s eine wertvolle Ressource sind und meist auch bereits verwendet werden, sodass sie nicht erneut verwendet werden können. Angenommen, es stehen nur zwei IPs zur Verfügung, die zwischen den beiden PFsense-Boxen verwendet werden können, und es besteht keine Möglichkeit, ein neues Netzwerk zu erstellen. Außerdem sind die Teile des Netzwerks außerhalb der Firewall (dh der Router) nicht unter meiner Kontrolle. Das bedeutet: Wir können das Netzwerk nicht zerschneiden und den Router-Administrator bitten, das Netzwerk über statische Routen neu zu routen.

Idealerweise würden wir also die beiden PFsense-Boxen einsetzen und sie sowohl auf der WAN- als auch auf der LAN-Seite mit einem Switch verbinden und die Switches mit dem Router auf der WAN-Seite und den Servern auf der LAN-Seite verbinden. Dies würde jedoch zu einer offensichtlichen Schleife führen: Da die PFsense-Boxen im Bridge-Modus im Grunde praktisch ausgefallene Switches sind, haben wir eine OSI-Layer-2-Loop, die PF1 >> WAN-Switch >> PF2 >> LAN-Switch >> PF1 wechselt, und das Netzwerk würde dies tun einfach nicht funktionieren.

Daher ist die logische Lösung, wenn Hochverfügbarkeit gewünscht wird, irgendwie beides zu erhalten . Failover wird jedoch nur in Bezug auf CARP-IPs diskutiert. Transparente Brücken haben überhaupt keine IPs. Wie kann ich meinen Kuchen haben und auch essen?

Meine ursprüngliche Idee ist, dass die PFsense-Boxen Folgendes irgendwie koordinieren müssen: Während die sekundäre Box feststellt, dass die primäre Box online ist, sollte sie ihre LAN-Schnittstelle herunterfahren (im Idealfall bleiben beide PFsense-Firewalls für die Konfiguration über das Internet erreichbar). Es kann dafür die SYNC-Schnittstelle verwenden. Selbst wenn die Schleife erstellt wird, sollte das SYNC-Netzwerk in Betrieb bleiben.

Was ist der einfachste / kanonischste Weg, dies zu erreichen?

Zur Verdeutlichung hier ein kleines Netzwerkdiagramm. Nehmen Sie für eine optimale Lösung an: Die roten Teile liegen außerhalb der Kontrolle und können nicht verändert werden.