OPNsense HA高可用

OPNSense集群的类型是HA热备份，当主防火墙出故障下线的时候，备份防火墙会接替工作。实现这种热备份的原理是“共用地址冗余协议（CARP）”，即多台防火墙共同使用一个IP地址。

拓扑

FW1  外网192.168.101.10  内网172.16.1.10  心跳2.2.2.10

FW2  外网192.168.101.20  内网172.16.1.20  心跳2.2.2.20

安装

默认选择1

不选

OK

Accept these Settings

选择需要安装到的硬盘上 

GPT/UEFI mode

安装用户名installer 密码opnsense

输入新root密码

Reboot

等待重启

登陆后配置3块网卡的静态IP地址

配置

浏览器访问LAN IP登陆进两台防火墙，运行向导模式设置语言和时区。

“防火墙”--“规则”--“OPT1”--“添加”一条全部放开的规则，以便两台防火墙之间心跳线可以通讯

测试心跳间正常，以下操作只需要在FW1上操作

“防火墙”--“虚拟IP”--“设置”--“添加”

模式选择为CARP，接口选择WAN，地址为WAN虚拟地址，虚拟IP密码随意填写，VHID组1，添加描述

“防火墙”--“虚拟IP”--“设置”--“添加”

模式选择为CARP，接口选择LAN，地址为LAN虚拟地址，虚拟IP密码随意填写，VHID组2，添加描述

“防火墙”--“NAT”--“出站”中改为“手动设置出站规则”

再“防火墙”--“NAT”--“出站”--“添加”一条开放所有的规则

“系统”--“高可用”--“设置”--“同步状态” 勾选，同步接口选为OPT1，同步对等IP设置为2.2.2.20，同步配置到IP设置为172.16.1.20，远程系统用户名root，勾选所有同步项目后保存。

“系统”--“高可用”--“状态”，点击将配置同步到备份设备，需要几秒钟

客户端网关设置为防火墙LAN VIP，长ping外网地址，关闭FW1主防火墙，ping只中断2秒