PfSense et HAProxy

Dans le but de résoudre les problèmes de fonctionnement du failover et loadbalancing des LDAPS avec keepalived, nous avons choisis de passer à HAProxy. Par la même occasion nous avons choisis de le mettre sur PfSense qui est en réalité un FreeBSD pour sa légèreté et sa robustesse réseaux pour faire ces les fonctionnalités.

• ISO : Téléchargement sur le site de l'éditeur

• Une seule carte réseaux : Le WAN
• Désactiver le firewalling :
  • Firewall > Rules > WAN : Add
  • Action : Pass
  • Protocol : Any
  • Source : Any
  • Destination : Any

• Synchronize states : OK
• Synchronize Interface : WAN
• pfsync Synchronize Peer IP : permet d'eviter l'envoie des checks en multicast
  • Mettre IP du second PfSense ( sur machine 1 : ip machine 2 et inversement )

• Add
• Type : CARP
• Address : VIP :192.168.1.3 ( par exemple )
• Virtual IP password : Mettre un password de 8 chars
• VHID : ID du groupe doit être unique par type de LB
  • Par exemple pour deux LoadBalancer ldap : ID = 1 , pour deux LB smtp : ID = 2

• Permet de voir qui est Master/Backup

• CA : Add
  • Nom : Cert-CA
  • Certificate data : Mettre le contenu du certificat haute autorité

• Certificates : Add
  • Descriptive Name : Cert domain
  • Certificate data : Mettre le certificat
  • Private key data : Mettre la clé de chiffrement

1. Installer le package :
   • System > Package Manager > Available Packages
   • haproxy : install
2. Settings
   • Enable HAProxy
   • Maximum connections: 10000
   • Internal stats port : 2200
   • Max SSL Diffie-Hellman size : 2048
   • Custom options : ssl-server-verify none
   • HAProxy Sync : Check
3. Backend
   • ldap :
     • name : ldap_TEST
     • server list :
       • name: ldap1-389 , 192.168.1.1 , 389
       • name: ldap2-389 , 192.168.1.2 , 389
     • Connection timeout : 1000
     • Server timeout : 5000
     • Health check method : LDAP
     • Stick tables : stick on sourceIPv4
     • Stick-table expire : 30m
     • Stick-table size : 200k
   • ldaps :
     • name : ldap_SSL_TEST
     • server list :
       • name: ldap1-636 , 192.168.1.1 , 636
         • advanced : ssl
       • name: ldap2-636 , 192.168.1.2 , 636
         • advanced : ssl
     • Connection timeout : 1000
     • Server timeout : 5000
     • Health check method : LDAP
     • Stick tables : stick on sourceIPv4
     • Stick-table expire : 30m
     • Stick-table size : 200k
4. Frontend
   • ldap :
     • name: ldap_front
     • description : ldap_front-389
     • external address :
       • Listen : Any IPv4
       • Port : 389
     • type : TCP
     • Default Backend : ldap_TEST
     • client timeout: 1000
   • ldaps :
     • name: ldap_ssl_front
     • description : ldap_ssl_front-636
     • external address :
       • Listen : Any IPv4
       • Port : 636
       • SSL Offloading : check
     • type : ssl/https
     • Default Backend : ldap_SSL_TEST
     • client timeout: 1000
     • Use “httpclose” option : Forceclose
     • Certificate : Star domain
     • Add ACL for certificate Subject Alternative Names : Uncheck
     • Advanced ssl options : no-sslv3 no-tlsv10 ciphers HIGH:!aNULL:!MD5
     • Without client cert : check
     • Allow invalid cert : check
     • Client verification CA certificates : Digicert-CA

• La configuration sera automatique déployer via XMLRPC

• Afin de ne pas re-ecrire la configuration HAProxy entre LB1 et LB2, nous allons utiliser la fonction de replication de conf
• Dans notre cas LB1 sera le maitre et LB2 l'esclave
• C'est LB1 qui push sur LB2 , donc on configure LB1
• La synchro de HAProxy est appliqué depuis le plugin directement ( voir conf précédente )
• System > High Availability Sync
  • Synchronize Config to IP : IP du LB2
  • Remote System Username : admin
  • Remote System Password : passwd
  • Select options to sync :
    • Certificates
    • Firewall
    • Virtual IPs

• Diagnostics > Backup & Restore
• Download configuration as XML