Cluster Pfsense haute disponibilité - CARP

Cluster pfSense CE — Haute Disponibilité avec CARP sur Proxmox

Niveau : Débutant à Confirmé Temps estimé : 2h à 4h selon l'environnement Environnement : Proxmox VE — pfSense CE

Avant-propos

Pourquoi mettre en place un cluster pfSense ?

Dans un environnement professionnel, le pare-feu est un composant critique. Si votre unique pare-feu tombe en panne, l'ensemble du trafic réseau est interrompu : accès internet, VPN, communications inter-VLAN… tout s'arrête.

Un cluster pfSense en haute disponibilité répond à ce problème en maintenant deux pare-feux synchronisés en permanence. Si le principal tombe, le secondaire prend automatiquement le relais en quelques secondes, de façon transparente pour les utilisateurs.

Prérequis

Infrastructure

Élément Requis
Hyperviseur Proxmox VE 7.x ou 8.x
Deux VMs pfSense CE Version 2.7.x ou supérieure
Processeur 2 vCPU minimum par VM
RAM 2 Go minimum par VM
Stockage 20 Go minimum par VM

💡 Note débutant : Proxmox VE est un hyperviseur open source gratuit qui vous permet de créer et gérer des machines virtuelles. Il s'installe sur un serveur physique et vous y accédez via un navigateur web.

Plan réseau

Ce tutoriel utilise le plan d'adressage suivant :

Interface pfSense Master pfSense Slave VIP CARP
WAN 192.168.60.10/24 192.168.60.11/24 Aucune
LAN 172.16.10.2/24 172.16.10.3/24 172.16.10.1/24
SYNC 172.16.99.1/30 172.16.99.2/30 Aucune

💡 Pourquoi pas de VIP sur le WAN ? Dans ce scénario, le basculement côté WAN est géré par l'équipement en amont (routeur/box). Une seule IP publique suffit en environnement lab ou petite infrastructure.

💡 Pourquoi pas de VIP sur le SYNC ? L'interface SYNC est un lien dédié uniquement à la réplication entre les deux pare-feux. Elle n'a pas vocation à être contactée depuis l'extérieur, elle n'a donc pas besoin d'IP virtuelle.

Comptes et droits nécessaires

Rôle Droits requis
Administrateur Proxmox Accès à la création de VMs
Administrateur pfSense Compte local avec droits admin

Outils nécessaires

  • Un navigateur web moderne (accès Proxmox et interfaces pfSense)
  • L'ISO pfSense CE (téléchargeable sur netgate.com)
  • Un client SSH (optionnel, pour le dépannage avancé)

Introduction : Technologies et protocoles utilisés

pfSense CE

pfSense CE (Community Edition) est une solution de pare-feu et de routeur open source basée sur FreeBSD. Elle offre une interface web complète pour gérer le filtrage de paquets, le NAT, le VPN, la QoS, et bien d'autres fonctionnalités réseau avancées. C'est une alternative robuste et gratuite aux solutions commerciales propriétaires.

CARP — Common Address Redundancy Protocol

CARP est le protocole qui permet à plusieurs hôtes de partager une ou plusieurs adresses IP virtuelles. C'est le cœur de la haute disponibilité réseau dans pfSense.

Comment ça fonctionne :

[Master pfSense]  ←── annonces CARP ───→  [Slave pfSense]
        │                                         │
        └──────────── VIP CARP ──────────────────┘
                  172.16.10.1/24
                  (utilisée par les clients)
  • Le Master gère activement tout le trafic via les IP virtuelles
  • Le Slave surveille le Master en écoutant ses annonces CARP
  • Si le Master ne répond plus, le Slave prend automatiquement le relais en quelques secondes
  • Quand le Master redémarre, il reprend son rôle automatiquement

🔐 Bonne pratique de sécurité : CARP utilise un mot de passe de groupe pour authentifier les messages entre nœuds. Ce mot de passe doit être fort (12+ caractères, complexe) et identique sur les deux pare-feux.

pfSync — Synchronisation des états de connexion

pfSync maintient la cohérence des tables d'états de connexion entre les deux pare-feux en temps réel. Sans pfSync, lors d'un basculement, toutes les connexions TCP actives seraient interrompues (téléchargements, sessions VPN, etc.) car le Slave ne connaîtrait pas leur état.

Avec pfSync, le Slave possède la même table d'états que le Master à tout moment : le basculement est transparent pour les connexions établies.

💡 Interface dédiée : pfSync utilise l'interface SYNC, un réseau isolé entre les deux pare-feux. C'est une bonne pratique de ne jamais faire transiter la synchronisation par le LAN ou le WAN.

XMLRPC — Synchronisation de configuration

XMLRPC permet de répliquer la configuration complète du Master vers le Slave automatiquement : règles de firewall, NAT, DHCP, VPN, certificats… Toute modification faite sur le Master est poussée vers le Slave.

La communication est sécurisée par SSL/TLS et nécessite un compte dédié avec des droits spécifiques.

⚠️ Important : La configuration ne se réplique que dans un sens : du Master vers le Slave. Ne modifiez jamais la configuration directement sur le Slave, elle serait écrasée à la prochaine synchronisation.

Vue d'ensemble des étapes

  1. ✅ Création des VMs sur Proxmox
  2. 🖥️ Installation de pfSense CE
  3. 🔧 Configuration initiale des interfaces
  4. 🔐 Sécurisation des comptes (désactivation admin + compte sync dédié)
  5. 🔥 Règle firewall sur l'interface SYNC
  6. 🔄 Mise en place de la réplication (pfSync + XMLRPC)
  7. 🌐 Configuration CARP (IP virtuelles)
  8. 🔀 NAT Outbound avec les VIP CARP
  9. ✔️ Vérification et tests de basculement

Étape 1 — Création des VMs sur Proxmox

Nous allons créer deux VMs identiques sur Proxmox, une pour le Master et une pour le Slave.

Créer la première VM (Master)

  1. Connectez-vous à l'interface web Proxmox : https://IP-PROXMOX:8006

  2. Cliquez sur Create VM en haut à droite

  3. Onglet General :

    • Node : votre nœud Proxmox
    • VM ID : 101 (ou le suivant disponible)
    • Name : pfsense-master

  4. Onglet OS :

    • Sélectionnez l'ISO pfSense CE (uploadée au préalable dans le stockage Proxmox)
    • Type : Other

S%C3%A9lection%20de%20l'ISO%20pfSense%20dans%20l'onglet%20OS

[Sélection de l'ISO pfSense dans l'onglet OS]

  1. Onglet System :

    • BIOS : SeaBIOS (par défaut)
    • Machine : i440fx

  2. Onglet Disks :

    • Bus/Device : VirtIO Block
    • Taille : 20 Go minimum
    • Décochez Pre-Enroll keys si présent

  3. Onglet CPU :

    • Sockets : 1
    • Cores : 2
    • Type : host (recommandé pour les performances)

  4. Onglet Memory :

    • Memory : 2048 Mo minimum

  5. Onglet Network :

    • Ajoutez l'interface WAN (bridge vers votre réseau WAN)
    • Model : VirtIO Configuration%20r%C3%A9seau%20de%20la%20VM%20%E2%80%94%20interface%20WAN

      [ Configuration réseau de la VM — interface WAN]

  6. Cliquez sur Finish pour créer la VM

Ajouter les interfaces réseau supplémentaires

Après création, ajoutez les interfaces LAN et SYNC :

  1. Sélectionnez la VM pfsense-master → onglet Hardware
  2. Cliquez sur AddNetwork Device
  3. Ajoutez l'interface LAN (bridge vers votre réseau LAN, model VirtIO)
  4. Répétez pour l'interface SYNC (bridge dédié, isolé, sans accès externe) Liste%20des%20interfaces%20r%C3%A9seau%20dans%20l'onglet%20Hardware%20de%20la%20VM

    [Liste des interfaces réseau dans l'onglet Hardware de la VM]

🔐 Bonne pratique : Le bridge de l'interface SYNC doit être strictement isolé (pas de liaison physique vers d'autres équipements). C'est un réseau point-à-point uniquement entre les deux pare-feux.

Créer la seconde VM (Slave)

Répétez exactement la même procédure en nommant la VM pfsense-slave (VM ID 102). La configuration matérielle doit être identique au Master.

💡 Astuce Proxmox : Vous pouvez cloner la VM Master avant d'installer pfSense pour gagner du temps : clic droit sur la VM → CloneFull Clone.

Étape 2 — Installation de pfSense CE

La procédure est identique sur les deux VMs.

  1. Démarrez la VM depuis Proxmox (bouton Start)

  2. Ouvrez la console (bouton ConsolenoVNC)

  3. L'installeur pfSense démarre automatiquement depuis l'ISO %C3%89cran%20de%20d%C3%A9marrage%20de%20l'installeur%20pfSense

    [Écran de démarrage de l'installeur pfSense]

  4. Acceptez les conditions de licence → Accept

  5. Choisissez Install pfSense

  6. Sélectionnez le type de clavier → Continue with default keymap

  7. Choisissez Auto (ZFS) pour le partitionnement

  8. Sélectionnez Stripe (pas de RAID, un seul disque virtuel)

  9. Sélectionnez le disque virtuel (da0) avec Espace puis OK

  10. Confirmez la destruction des données → YES S%C3%A9lection%20du%20disque%20pour%20l'installation%20ZFS

    [Sélection du disque pour l'installation ZFS]

  11. L'installation se lance. À la fin, choisissez Reboot

  12. Une fois redémarré, retirez l'ISO du lecteur CD dans Proxmox (Hardware → CD/DVD → Do not use any media)

Étape 3 — Configuration initiale des interfaces

Cette étape est réalisée via la console (noVNC dans Proxmox), avant d'avoir accès à l'interface web.

Assigner les interfaces

Au premier démarrage, pfSense propose d'assigner les interfaces :

  1. Répondez n à la question sur les VLANs
  2. Assignez les interfaces dans l'ordre :
    • WAN : vtnet0 (ou la première carte réseau)
    • LAN : vtnet1
    • SYNC (OPT1) : vtnet2
  3. Confirmez avec y Assignment%20des%20interfaces%20dans%20la%20console%20pfSense

    [Assignment des interfaces dans la console pfSense]

Configurer les adresses IP via le menu console

Depuis le menu principal (option 2 — Set interface(s) IP address) :

Sur le Master :

Interface Adresse IP Masque
WAN (1) 192.168.60.10 /24
LAN (2) 172.16.10.2 /24
OPT1/SYNC (3) 172.16.99.1 /30

Sur le Slave :

Interface Adresse IP Masque
WAN (1) 192.168.60.11 /24
LAN (2) 172.16.10.3 /24
OPT1/SYNC (3) 172.16.99.2 /30

Configuration%20de%20l'IP%20LAN%20via%20le%20menu%20console

[Configuration de l'IP LAN via le menu console]

💡 Accès à l'interface web : Une fois le LAN configuré, accédez à pfSense via un navigateur en vous rendant sur https://172.16.10.2 pour le Master et https://172.16.10.3 pour le Slave. Les identifiants par défaut sont admin / pfsense.

Étape 4 — Sécurisation des comptes

🔐 Bonne pratique : Le compte admin par défaut est connu de tous. Il doit être désactivé et remplacé par un compte nominatif dès la première connexion.

Cette procédure est à réaliser sur les deux pare-feux.

Créer un compte administrateur personnel

  1. Connectez-vous sur https://172.16.10.2 (identifiants : admin / pfsense)

  2. Au premier accès, un message d'avertissement indique que le mot de passe par défaut est utilisé

  3. Allez dans System → User Manager

  4. Cliquez sur + Add

  5. Remplissez les champs :

    • Username : votre prénom.nom (ex : jean.dupont)
    • Password : mot de passe fort (16+ caractères, majuscules, chiffres, caractères spéciaux)
    • Full name : votre nom complet
    • Group membership : déplacez admins vers la liste Member of (bouton >>) Formulaire%20de%20cr%C3%A9ation%20d'utilisateur%20avec%20le%20groupe%20admins%20s%C3%A9lectionn%C3%A9

      [ Formulaire de création d'utilisateur avec le groupe admins sélectionné]

  6. Cliquez sur Save en bas de page

  7. Déconnectez-vous et reconnectez-vous avec votre nouveau compte

Désactiver le compte admin par défaut

  1. Retournez dans System → User Manager
  2. Cliquez sur l'icône crayon (✏️) en face du compte admin
  3. Cochez la case This user cannot login (champ Disabled)
  4. Cliquez sur Save

⚠️ Le compte admin intégré (UID 0) ne peut pas être supprimé dans pfSense, uniquement désactivé. C'est le comportement normal.

Créer le compte dédié à la synchronisation XMLRPC

Ce compte sera utilisé exclusivement par pfSync pour la réplication de configuration. Il ne doit jamais être utilisé pour se connecter manuellement à l'interface web.

  1. Dans System → User Manager, cliquez sur + Add
  2. Remplissez :
    • Username : usersync
    • Password : mot de passe fort et unique (notez-le, il sera nécessaire lors de la configuration XMLRPC)
    • Full name : User account for synchronisation
    • Group membership : déplacez admins vers Member of
  3. Cliquez sur Save

Ajouter le droit HA node sync au compte usersync

Même avec les droits admin, le compte usersync nécessite un droit spécifique pour la synchronisation HA :

  1. Cliquez sur le crayon (✏️) en face de usersync
  2. Descendez jusqu'à la section Effective Privileges
  3. Cliquez sur + Add
  4. Dans la liste, sélectionnez System – HA node sync
  5. Cliquez sur Save, puis de nouveau Save en bas de page Section%20Effective%20Privileges%20avec%20le%20droit%20HA%20node%20sync%20ajout%C3%A9

    [Section Effective Privileges avec le droit HA node sync ajouté]

🔐 Bonne pratique : Ce compte ne doit servir qu'à la synchronisation. Ne lui donnez pas d'autres droits et ne l'utilisez pas pour des connexions manuelles.

Répétez toute cette étape sur le Slave (même comptes, même mots de passe pour usersync).

Étape 5 — Règle firewall sur l'interface SYNC

Avant de configurer la réplication, nous devons autoriser le trafic sur l'interface SYNC. Par défaut, pfSense bloque tout trafic entrant sur les interfaces OPT.

Cette procédure est à réaliser sur les deux pare-feux.

  1. Allez dans Firewall → Rules Menu%20Firewall%20%20Rules

    [Menu Firewall → Rules]

  2. Cliquez sur l'onglet SYNC

  3. Cliquez sur Add (flèche vers le haut, pour ajouter en premier)

  4. Configurez la règle :

Paramètre Valeur
Action Pass
Interface SYNC
Address Family IPv4
Protocol Any
Source SYNC subnets
Destination Any
Description Allow all traffic from SYNC subnet

Formulaire%20de%20la%20r%C3%A8gle%20firewall%20SYNC%20compl%C3%A9t%C3%A9

[ Formulaire de la règle firewall SYNC complété]

  1. Cliquez sur Save puis sur Apply Changes

🔐 Bonne pratique : Limiter la source à SYNC subnets (172.16.99.0/30) garantit que seul le trafic provenant de l'autre pare-feu est autorisé sur cette interface. Ne mettez jamais any en source sur une interface de synchronisation.

Répétez sur le Slave.

Étape 6 — Mise en place de la réplication

La réplication se compose de deux mécanismes configurés dans le même menu :

  • pfSync : synchronisation des états de connexion (temps réel)
  • XMLRPC : synchronisation de la configuration

Configuration sur le Master

  1. Allez dans System → High Availability

Section pfSync (State Synchronisation Settings)

  1. Cochez pfsync transfers state insertion, update, and deletion messages between firewalls
  2. Configurez :
Paramètre Valeur
Synchronize Interface SYNC
pfsync Synchronize Peer IP 172.16.99.2 (IP SYNC du Slave)

Section%20State%20Synchronisation%20Settings%20configur%C3%A9e

[ Section State Synchronisation Settings configurée]

Section XMLRPC (Configuration Synchronisation Settings)

  1. Configurez :
Paramètre Valeur
Synchronize Config to IP 172.16.99.2 (IP SYNC du Slave)
Remote System Username usersync
Remote System Password (mot de passe du compte usersync)
Synchronize admin accounts Ne pas cocher

🔐 Bonne pratique : Ne cochez jamais la case Synchronize admin accounts. Cela forcerait les deux pare-feux à avoir les mêmes comptes et mots de passe, ce qui retire l'intérêt d'avoir des comptes distincts pour l'audit et la sécurité.

[Section%20XMLRPC%20Sync%20avec%20usersync%20configur%C3%A9Section XMLRPC Sync avec usersync configuré]

  1. Cliquez sur Toggle All pour sélectionner tous les éléments à répliquer, à l'exception de Synchronize admin accounts Liste%20des%20options%20de%20sync%20avec%20Toggle%20All%20activ%C3%A9

    [Liste des options de sync avec Toggle All activé]

  2. Cliquez sur Save

Configuration sur le Slave

Sur le Slave, configurez uniquement la section pfSync (pas XMLRPC — le Slave ne pousse pas de configuration) :

  1. Allez dans System → High Availability
  2. Cochez pfsync transfers state…
  3. Configurez :
Paramètre Valeur
Synchronize Interface SYNC
pfsync Synchronize Peer IP 172.16.99.1 (IP SYNC du Master)

Configuration%20pfSync%20sur%20le%20Slave%20avec%20l'IP%20du%20Master

[ Configuration pfSync sur le Slave avec l'IP du Master]

  1. Cliquez sur Save

Tester la réplication

Pour vérifier que la réplication fonctionne :

  1. Sur le Master, allez dans System → User Manager

  2. Créez un utilisateur de test sans droits admin (ex : user-test)

  3. Allez sur le Slave dans System → User Manager

  4. L'utilisateur user-test doit apparaître automatiquement Utilisateur%20de%20test%20visible%20sur%20le%20Slave%20apr%C3%A8s%20r%C3%A9plication

    [Utilisateur de test visible sur le Slave après réplication]

  5. Supprimez l'utilisateur de test depuis le Master une fois la vérification faite.

Étape 7 — Configuration CARP (adresses IP virtuelles)

Les IP virtuelles CARP sont les adresses que vos équipements (clients, serveurs, routeurs) utiliseront pour joindre le pare-feu. Elles fonctionnent indépendamment de savoir si c'est le Master ou le Slave qui est actif.

Cette configuration se fait uniquement sur le Master. Les VIP seront automatiquement répliquées sur le Slave via XMLRPC.

Créer la VIP LAN

  1. Allez dans Firewall → Virtual IPs
  2. Cliquez sur + Add
  3. Configurez :
Paramètre Valeur
Type CARP
Interface LAN
Address(es) 172.16.10.1 / 24
Virtual IP Password Mot de passe fort et complexe (ex : C@rp!Lan2024#Sec)
VHID Group 1
Advertising Frequency Base 1, Skew 0 (Master)
Description VIP LAN

🔐 Bonne pratique : Le mot de passe CARP (Virtual IP Password) doit être identique sur le Master et le Slave pour un même VHID. Utilisez un mot de passe fort et unique par VIP. Ne réutilisez pas le mot de passe admin. Formulaire%20de%20cr%C3%A9ation%20de%20la%20VIP%20CARP%20LAN [Formulaire de création de la VIP CARP LAN]

  1. Cliquez sur Save puis Apply Changes VIP%20LAN%20cr%C3%A9%C3%A9e%20dans%20la%20liste%20des%20Virtual%20IPs

    [VIP LAN créée dans la liste des Virtual IPs]

Vérifier la réplication de la VIP sur le Slave

  1. Connectez-vous sur le Slave (https://172.16.10.3)
  2. Allez dans Firewall → Virtual IPs
  3. La VIP 172.16.10.1/24 doit être présente

Vérifier le statut CARP

Sur le Master :

  1. Allez dans Status → CARP (failover)
  2. Vérifiez que la VIP est en statut MASTER tatus%20CARP%20sur%20le%20Master%20%E2%80%94%20statut%20MASTER

    [ Status CARP sur le Master — statut MASTER]

Sur le Slave :

  1. Allez dans Status → CARP (failover)
  2. Vérifiez que la VIP est en statut BACKUP

[Status%20CARP%20sur%20le%20Slave%20%E2%80%94%20statut%20BACKUP Status CARP sur le Slave — statut BACKUP]

Étape 8 — NAT Outbound avec les VIP CARP

Pourquoi configurer le NAT Outbound ?

Par défaut, pfSense effectue le NAT en utilisant l'adresse IP réelle de l'interface (Master : 192.168.60.10, Slave : 192.168.60.11). Ce comportement pose un problème en haute disponibilité :

  • Quand le Master est actif, les connexions sortantes utilisent 192.168.60.10
  • Si le Slave prend le relais, les connexions sortantes utilisent 192.168.60.11

Pour les équipements en amont (routeur, pare-feu ISP), le trafic semble venir d'une adresse différente, ce qui peut couper les connexions établies et créer des incohérences dans les journaux.

En configurant le NAT Outbound pour utiliser la VIP CARP, toutes les connexions sortent toujours avec la même adresse IP, quel que soit le nœud actif.

💡 Dans ce tutoriel : Nous n'avons pas de VIP sur le WAN, donc le NAT Outbound concerne uniquement le LAN (172.16.10.0/24) qui sort vers l'internet via l'interface WAN. Les adresses IP source des connexions LAN seront traduites vers l'IP réelle WAN du nœud actif.

Activer le mode Hybrid Outbound NAT

  1. Allez dans Firewall → NAT → Outbound

  2. Sélectionnez Hybrid Outbound NAT rule generation S%C3%A9lection%20du%20mode%20Hybrid%20Outbound%20NAT

    [Sélection du mode Hybrid Outbound NAT]

  3. Cliquez sur Save

💡 Pourquoi Hybrid et pas Manual ? Le mode Hybrid conserve les règles NAT automatiques de pfSense (qui fonctionnent bien pour la majorité des cas) et vous permet d'ajouter des règles manuelles supplémentaires par-dessus. Le mode Manual vous oblige à tout définir manuellement.

Ajouter les règles NAT Outbound

Cliquez sur Add (flèche vers le haut) pour chaque règle ci-dessous :

Règle 1 — LAN vers internet (via WAN)

Paramètre Valeur
Interface WAN
Address Family IPv4
Protocol Any
Source LAN subnets (172.16.10.0/24)
Destination Any
Translation / Address Interface Address (IP WAN du nœud actif)
Description NAT LAN to WAN

R%C3%A8gle%20NAT%20Outbound%20LAN%20vers%20WAN

[Règle NAT Outbound LAN vers WAN]

  1. Cliquez sur Save puis Apply Changes

💡 Note pour les environnements avec DMZ : Si vous ajoutez des interfaces DMZ plus tard, créez une règle similaire pour chaque sous-réseau supplémentaire.

Étape 9 — Tests de basculement

Test 1 : Vérifier la connectivité via la VIP

Depuis un poste client sur le réseau LAN, configurez la passerelle sur 172.16.10.1 (VIP CARP) et testez la connectivité internet. Ping%20depuis%20un%20client%20LAN%20via%20la%20gateway

[ Ping depuis un client LAN via la gateway 172.16.10.1]

Test 2 : Basculement manuel

  1. Sur le Master, allez dans Diagnostics → Reboot
  2. Cliquez sur Submit

[📸 Capture d'écran ici : Diagnostics → Reboot sur le Master]

  1. Pendant le redémarrage, observez le Slave dans Status → CARP (failover)
  2. Il doit passer en statut MASTER sur toutes les VIP

[📸 Capture d'écran ici : Slave en statut MASTER pendant le redémarrage du Master]

  1. Vérifiez que la connectivité internet est maintenue depuis un client LAN pendant le basculement
  2. Une fois le Master redémarré, vérifiez qu'il reprend bien le statut MASTER

[📸 Capture d'écran ici : Master de retour en statut MASTER après redémarrage]

Bonnes pratiques et recommandations

Sécurité

  • Désactivez le compte admin par défaut sur les deux nœuds dès l'installation
  • Compte usersync dédié avec le seul droit HA node sync — pas de connexion manuelle avec ce compte
  • Ne synchronisez jamais les comptes administrateurs entre les nœuds (case Synchronize admin accounts décochée)
  • Mot de passe CARP fort pour chaque VIP (12+ caractères, complexe)
  • Interface SYNC isolée — aucun autre équipement sur ce réseau
  • Activez les logs sur les règles critiques pour faciliter l'audit
  • Maintenez pfSense à jour sur les deux nœuds (même version impérative)

Haute disponibilité

  • Ne modifiez la configuration que sur le Master — les modifications sur le Slave seront écrasées
  • Vérifiez régulièrement l'état CARP (Status → CARP) pour s'assurer que les deux nœuds sont bien actifs
  • Testez le basculement périodiquement (une fois par mois en production)
  • Sauvegardez la configuration des deux nœuds régulièrement (Diagnostics → Backup & Restore)

Proxmox

  • Placez les deux VMs sur des hôtes Proxmox différents si vous avez un cluster Proxmox — sinon la panne de l'hôte entraîne la panne des deux pare-feux
  • Snapshots avant toute modification majeure de la configuration
  • Ne placez pas l'interface SYNC sur un bridge partagé avec d'autres VMs

Résolution des problèmes courants

Problème Cause probable Solution
Le Slave ne passe pas en MASTER lors d'un basculement pfSync non configuré ou règle SYNC manquante Vérifiez la règle firewall sur l'interface SYNC et la config pfSync
La configuration ne se réplique pas sur le Slave Mauvais mot de passe usersync ou IP SYNC incorrecte Vérifiez les paramètres XMLRPC sur le Master
Les deux nœuds sont MASTER (split-brain) Lien SYNC coupé Vérifiez la connectivité entre 172.16.99.1 et 172.16.99.2
VIP CARP en statut INIT CARP désactivé ou problème de réseau Vérifiez Firewall → Virtual IPs et Status → CARP
Les connexions sont coupées lors du basculement pfSync non actif Vérifiez la section State Synchronisation Settings
Le compte usersync ne peut pas se synchroniser Droit HA node sync manquant Ajoutez le privilège System – HA node sync au compte
Après redémarrage du Master, le Slave reste MASTER Comportement normal (Skew) Attendez quelques secondes, le Master reprend automatiquement

Pour aller plus loin

Ajouter des interfaces DMZ

Une fois le cluster opérationnel, vous pouvez ajouter des interfaces DMZ en suivant la même logique : ajout d'une VIP CARP sur chaque interface, règles NAT Outbound correspondantes.

Superviser l'état du cluster

Configurez des alertes email dans pfSense (System → Advanced → Notifications) pour être alerté en cas de basculement CARP.

Mise à jour du cluster

Pour mettre à jour pfSense sans interruption de service :

  1. Mettez à jour le Slave en premier (System → Update)
  2. Forcez un basculement sur le Slave mis à jour (mettez le Master en maintenance)
  3. Mettez à jour le Master
  4. Restaurez le Master en nœud actif

Supervision avec Grafana/InfluxDB

pfSense peut envoyer ses métriques vers InfluxDB pour une supervision avancée via Grafana (Status → Monitoring).

Glossaire

Terme Définition
CARP Common Address Redundancy Protocol — partage d'adresses IP virtuelles entre plusieurs hôtes
VIP Virtual IP — adresse IP virtuelle partagée par les deux nœuds via CARP
pfSync Protocole de synchronisation des tables d'états de connexion entre pare-feux
XMLRPC Protocole de synchronisation de la configuration entre le Master et le Slave
Master Nœud principal actif qui gère le trafic
Slave / Backup Nœud secondaire en attente, prêt à prendre le relais
VHID Virtual Host ID — identifiant numérique unique pour chaque groupe CARP
Basculement (Failover) Transfert automatique du rôle Master vers le Slave en cas de panne
Split-brain Situation dangereuse où les deux nœuds se croient Master simultanément
NAT Outbound Traduction d'adresse réseau pour le trafic sortant (LAN vers WAN)
Hybrid NAT Mode NAT combinant règles automatiques et manuelles
Proxmox VE Hyperviseur open source pour la virtualisation de VMs et conteneurs
pfSense CE Community Edition de pfSense — version gratuite open source
HA High Availability — haute disponibilité
OPT Interface optionnelle dans pfSense (WAN et LAN sont réservés, les autres sont OPT)

Ce tutoriel est basé sur la documentation officielle Netgate (docs.netgate.com) et le TP Cluster PfSense EasyFormer (EF-SEC-PFSENSECLUSTER v1). Il couvre pfSense CE en environnement Proxmox VE.