evertik

Buscar
Cerrar este cuadro de búsqueda.

ARTÍCULO TÉCNICO: INFRAESTRUCTURA HA CON PFSENSE+

por

 

 

Cómo montar una infraestructura de alta disponibilidad con pfSense+

🛡️ Introducción

En un entorno de red crítico, garantizar la disponibilidad y redundancia del firewall es fundamental. pfSense+ ofrece una solución robusta para la alta disponibilidad (HA), permitiendo minimizar el tiempo de inactividad y mejorar la seguridad de la red. En este artículo, te enseñaremos cómo configurar HA en pfSense+ utilizando CARP, pfsync y balanceo de carga.

1️⃣ Beneficios de la alta disponibilidad con pfSense+

  • Failover automático: Si un firewall falla, el otro toma el control de inmediato.
  • Reducción del tiempo de inactividad: Garantiza que la red siga operando incluso ante fallos de hardware.
  • Carga balanceada: Distribuye el tráfico para mejorar el rendimiento y evitar cuellos de botella.
  • Protección avanzada: Configuración redundante de VPNs, reglas de firewall y NAT.

2️⃣ Requisitos para configurar HA en pfSense+

Antes de comenzar, asegúrate de cumplir los siguientes requisitos:

  • 🔹 Dos firewalls pfSense+ idénticos (con el mismo hardware y versión de software).
  • 🔹 Tres interfaces de red en cada firewall (WAN, LAN y SYNC).
  • 🔹 Direcciones IP fijas en cada interfaz de los firewalls.
  • 🔹 CARP configurado para las IPs virtuales y failover automático.
  • 🔹 pfsync activado para sincronizar las configuraciones entre los firewalls.

3️⃣ Arquitectura de HA con pfSense+

4️⃣ Configuración paso a paso

🔹 Paso 1: Configurar interfaces

  • 1️⃣ Configura la interfaz WAN en ambos firewalls con IPs estáticas.
  • 2️⃣ Asigna una IP virtual CARP para la interfaz WAN (será la dirección pública).
  • 3️⃣ Configura la interfaz LAN con una IP fija en cada firewall.
  • 4️⃣ Crea una IP CARP virtual para la LAN, que será la puerta de enlace interna.
  • 5️⃣ Configura la interfaz SYNC (una red privada dedicada a la sincronización pfsync).

🔹 Paso 2: Configurar CARP para failover

  • 1️⃣ Ve a Firewall > Virtual IPs en el pfSense Master.
  • 2️⃣ Crea una nueva IP virtual con el tipo CARP.
  • 3️⃣ Configura la prioridad (más baja en el Master, más alta en el Backup).
  • 4️⃣ Guarda los cambios y repite el proceso en todas las interfaces.

🔹 Paso 3: Habilitar la sincronización de estados pfsync

  • 1️⃣ En el Master, ve a System > High Availability Sync.
  • 2️⃣ En pfsync Synchronization, activa la opción y elige la interfaz SYNC.
  • 3️⃣ En Configuration Synchronization, introduce la IP del firewall secundario.
  • 4️⃣ Habilita la sincronización de reglas de firewall, NAT, VPN y usuarios.

🔹 Paso 4: Configurar balanceo de carga

  • 1️⃣ Ve a System > Routing > Gateway Groups.
  • 2️⃣ Crea un grupo de gateways con ambas conexiones WAN.
  • 3️⃣ Establece la política de failover o balanceo de carga.
  • 4️⃣ Guarda los cambios y aplica la configuración.

5️⃣ Pruebas y validación

  • 🔹 Desconectar el firewall Master y verificar que el Backup asume el control.
  • 🔹 Comprobar el estado de CARP en Status > CARP.
  • 🔹 Testear la conmutación de VPNs, reglas de firewall y accesos remotos.
  • 🔹 Realizar pruebas de rendimiento y carga balanceada.

Conclusión

Configurar alta disponibilidad en pfSense+ garantiza resiliencia, seguridad y continuidad del negocio. Gracias a herramientas como CARP, pfsync y balanceo de carga, puedes construir una infraestructura robusta sin costes de licencias propietarias. 🚀

Si deseas una implementación profesional y optimizada, en Evertik somos especialistas en pfSense+ y ciberseguridad. ¡Consulta nuestros casos de éxito en nuestra web! 🔥