Panoramica, Funzionalità, Limitazioni

Panoramica, Funzionalità, Limitazioni#

L’Alta Disponibilità (HA) di NethSecurity garantisce la continuità operativa della rete fornendo ridondanza tramite un cluster di due firewall. Se il firewall primario si guasta a causa di problemi hardware, problemi software o manutenzione, un firewall di backup assume automaticamente la gestione di tutti i servizi di rete e del traffico, riducendo al minimo i tempi di inattività.

Questo è fondamentale per aziende o organizzazioni in cui l’accesso a Internet senza interruzioni, la connettività VPN e i servizi di sicurezza sono essenziali per le operazioni quotidiane, prevenendo la perdita di produttività o di ricavi durante un’interruzione.

Concetti chiave#

Alcuni concetti chiave da comprendere prima di configurare HA:

  • Nodo Primario: Il firewall che gestisce attivamente il traffico e i servizi.

  • Nodo secondario (o di backup): Il firewall che subentra automaticamente in caso di guasto del nodo primario.

  • Virtual IP (VIP): Un indirizzo IP condiviso utilizzato da entrambi i nodi per ciascuna interfaccia configurata, al fine di garantire un accesso ininterrotto ai servizi da parte dei client. I client sulla rete dovrebbero sempre utilizzare l’indirizzo VIP (ad esempio, come gateway, server DNS o endpoint VPN) per garantire un failover senza interruzioni.

Ruoli HA#

  • Principale

    • Il nodo che attualmente ha tutte le interfacce attive ed elabora tutto il traffico di rete

    • In condizioni normali, il Nodo Primario opera in questo stato.

  • Backup

    • Il nodo che non elabora il traffico di rete.

    • In condizioni normali, il Nodo Secondario opera in questo stato.

Le modifiche alla configurazione devono essere sempre effettuate sul nodo primario. Il nodo secondario deve essere considerato in sola lettura. L’unica eccezione riguarda la configurazione di rete delle interfacce LAN che fanno parte del cluster HA.

Tutte le altre configurazioni rilevanti, come le regole del firewall, le impostazioni VPN o le regole di Threat Shield, vengono sincronizzate automaticamente dal nodo primario al nodo secondario.

Ecco come funziona il sistema HA:

  • Heartbeat: I firewall primario e secondario controllano continuamente lo stato l’uno dell’altro utilizzando il protocollo VRRP. Se il primario si guasta, il secondario subentra. Il protocollo VRRP viene trasportato tramite un’interfaccia LAN dedicata chiamata interfaccia HA; ulteriori informazioni saranno fornite in una sezione successiva.

  • Sincronizzazione delle impostazioni: Il firewall primario invia in modo sicuro le proprie impostazioni, inclusi i dettagli sulle connessioni attive come VPN e route di rete, al firewall secondario.

  • Il sistema regola automaticamente il comportamento di ciascun firewall in base al fatto che sia l’unità attiva (primaria) o di standby (secondaria):

    • Il secondario riceve aggiornamenti di configurazione: Quando il firewall secondario riceve nuove impostazioni, le salva ma mantiene i servizi correlati (come le VPN) disattivati. Il firewall secondario conserva una copia completa della configurazione del primario, ma mantiene inattivi la maggior parte dei processi in background. Questo include attività come la verifica degli aggiornamenti software, l’esecuzione di backup remoti o l’invio di report. In questo modo, solo il firewall primario attivo gestisce queste attività, prevenendo conflitti.

    • Il firewall diventa attivo: Quando un firewall assume il ruolo di primario (sia durante un avvio normale che durante un failover), attiva tutti i servizi e le connessioni necessari.

    • Il firewall diventa standby: Quando un firewall è in modalità di backup (sia all’avvio che quando il primario torna online), disattiva la maggior parte dei servizi e delle connessioni.

Sebbene il sistema HA sia progettato per essere il più automatico possibile, alcune configurazioni richiedono un intervento manuale. Ad esempio, se si aggiunge una nuova interfaccia di rete LAN o si modifica una esistente, è necessario informare il sistema HA di queste modifiche.

Funzionalità supportate e limitazioni#

Il cluster HA supporta la sincronizzazione per un’ampia gamma di funzionalità, tra cui:

  • Regole del firewall, port forwarding, DHCP, DNS

  • Configurazioni VPN (OpenVPN, IPsec, WireGuard)

  • QoS, Multi-WAN, regole DPI

  • Reverse proxy, certificati ACME e altro.

  • Route statiche

  • Configurazione informatica di Netifyd

  • Protezione dalle minacce IP (banip)

  • Threat shield DNS (adblock)

  • Database di utenti e oggetti

  • Netmap

  • Flashstart

  • Server SNMP (snmpd)

  • Helper NAT

  • DNS dinamico (ddns)

  • Client SMTP (msmtp)

  • Password di cifratura del backup

  • Connessione e sottoscrizione del controller (ns-plug)

  • Monitoraggio delle connessioni attive (conntrackd)

  • Hotspot (dedalo) solo su interfacce fisiche

Tipi e configurazioni di interfacce WAN#

  • Indirizzi IPv4 statici e indirizzi IPv6 statici

  • IPv4 tramite DHCP

  • Interfacce Ethernet fisiche

  • Interfacce bond (aggregazione di link) composte da interfacce fisiche

  • Interfacce bridge su interfacce fisiche

  • VLAN su interfacce fisiche, interfacce bond o interfacce bridge

  • PPPoE su interfacce fisiche o su interfacce VLAN

Limitazioni delle interfacce#

  • Solo IPv4 è supportato sulle interfacce LAN

  • L’interfaccia HA deve essere un’interfaccia fisica

  • I bond e i bridge sono supportati solo per interfacce LAN aggiuntive e WAN, non per l’interfaccia HA

  • L’Hotspot è supportato solo su interfacce fisiche

  • Se è stata effettuata una migrazione da NethServer 7, i dispositivi bond con nomi lunghi (come bond-bond0) non sono compatibili con HA. Consultare la sezione correzione dei nomi dei bond per le istruzioni su come rinominarli.

Limitazioni generali#

  • I pacchetti aggiuntivi non inclusi nell’immagine non sono supportati (ad es. NUT, etherwake, ecc.)

  • La configurazione del demone Syslog (rsyslog) non è sincronizzata: se è necessario inviare i log a un server remoto, occorre utilizzare il controller.

  • Dopo la prima sincronizzazione, il nodo secondario avrà lo stesso hostname del nodo primario. L’interfaccia utente web mostrerà l’hostname del nodo primario, ma la dashboard indicherà il ruolo del nodo (primario o secondario). Inoltre, quando si accede alla console SSH, il prompt cambierà per indicare il ruolo del nodo. Consultare la sezione Risoluzione dei problemi per ulteriori dettagli.

Sincronizzazione e conservazione dei log#

HA sincronizza la configurazione, le sessioni attive e lo stato di runtime tra i nodi del cluster per garantire la continuità del servizio durante il failover. I log e i dati di reportistica, come i log di sistema o i database della cronologia di OpenVPN Road Warrior, non vengono sincronizzati tra i nodi HA. Per la conservazione centralizzata e la reportistica unificata, utilizzare il controller.