Haute Disponibilite

Auteur : [‘Gautier RAYEROUX’] | Date : 2026-01-15

---

Présentation

La haute disponibilité pfSense repose sur le protocole CARP (Common Address Redundancy Protocol). Un pfSense MAÎTRE et un pfSense ESCLAVE partagent des adresses IP virtuelles. En cas de panne du MAÎTRE, l’ESCLAVE prend le relai automatiquement.

---

Prérequis

Créer une seconde machine virtuelle destinée à être le pfSense ESCLAVE.

Pour les 2 VMs, ajouter une carte réseau dédiée au protocole CARP, puis paramétrer les interfaces en Static IPv4.

Note

Changer l’adresse LAN de chaque pfSense pour éviter les conflits.

	MAÎTRE	ESCLAVE
LAN	192.168.152.200	192.168.152.201
DMZ	192.168.100.1	192.168.100.2
CARP	192.168.2.1	192.168.2.2

---

1. Créer les Virtual IPs

Dans Firewall → Virtual IPs, ajouter 2 nouvelles adresses virtuelles (une par interface partagée).

Répéter les opérations sur le pfSense ESCLAVE.

---

2. Modifier le DHCP (si activé)

Aller dans Services → DHCP Server, sélectionner LAN, puis modifier la Gateway en plaçant l’adresse virtuelle CARP créée précédemment, puis sauvegarder.

---

3. Activer la haute disponibilité (MAÎTRE)

Depuis le pfSense MAÎTRE, aller dans System → High Availability et renseigner la configuration de synchronisation.

---

4. Paramétrer les règles de pare-feu pour la haute disponibilité

4.1 NAT Outbound

Ajouter une nouvelle règle NAT Outbound pour gérer le NAT sortant sur l’interface WAN :

4.2 Règle pour l’interface CARP

Dans les règles de Firewall, ajouter une règle pour l’interface CARP :

4.3 Règle pour le protocole XML-RPC

Créer une règle pour le protocole XML-RPC (synchronisation de la configuration entre MAÎTRE et ESCLAVE) :

4.4 Règle pour les flux internes CARP

Créer une règle pour les flux au sein du réseau CARP :

---

5. Définir la passerelle par défaut

1. Aller dans System → Routing, créer une Gateway avec la passerelle fournie par le FAI, puis la sélectionner dans « Default gateway IPv4 »

2. Dans les règles de l’interface LAN, modifier la règle « Default allow LAN to any rule », accéder aux paramètres avancés, puis changer la Gateway

---

6. Vérifier la haute disponibilité

Aller dans Status → CARP (failover) pour vérifier le statut.

MAÎTRE	ESCLAVE

Sur le pfSense ESCLAVE, vérifier que la configuration a bien été synchronisée depuis le MAÎTRE :

Note

Pour tester la bascule, désactiver temporairement CARP sur le pfSense MAÎTRE. Le statut CARP de l’ESCLAVE doit passer en MASTER automatiquement. Une fois le MAÎTRE remis en ligne, il reprend son rôle.