Hvorfor HA på firewall-niveau?
Hvis én firewall er eneste vej til internet og kritiske systemer, har du et oplagt single point of failure.
HA med CARP i pfSense giver mulighed for automatisk failover, så driften kan fortsætte ved fejl.
Grundkomponenter i et HA-setup
- To pfSense-noder (primær/sekundær)
- CARP virtuelle IP-adresser
- Konfigurationssync mellem noder
- Dedikeret sync-link mellem firewalls
Målet er, at sekundær node overtager hurtigt ved fejl på primær.
Planlægning inden opsætning
Afklar først:
- Hvilke interfaces skal være redundante?
- Hvilke tjenester er kritiske for failover?
- Hvor hurtig failover er acceptabel?
- Hvordan testes failover i drift?
Opsætning i praksis (overblik)
- Etabler to ens hardware-/VM-profiler
- Konfigurer sync-link og adgang
- Opret CARP VIPs på relevante interfaces
- Aktiver config sync
- Test planlagt failover
Fejl vi ofte ser
- Uens firmware/version mellem noder
- Manglende test af failover under last
- Mangelfuld dokumentation af netværksdesign
- Overvågning kun af "up/down", ikke reel applikationsadgang
Testscenarier du bør køre
- Sluk primær node kontrolleret
- Simuler interface-fejl
- Verificer at kritiske applikationer fortsat virker
- Mål faktisk gendannelsestid
FAQ
Er HA nødvendigt for alle SMB'er?
Nej. Men for virksomheder med lav tolerance for nedetid er det ofte en god investering.
Betyder HA nul nedetid?
Ikke altid nul, men markant lavere risiko og hurtigere genopretning.
Kan vi starte simpelt?
Ja. Start med kritiske interfaces og udvid efter behov.
Relaterede artikler
- Hvad er pfSense? Guide til firewall og netværkssikkerhed
- Site-to-site VPN med pfSense: Praktisk guide for virksomheder
- Hosting sikkerhed: 10 tiltag der beskytter din virksomhed
Vil I have failover testet ordentligt?
Vi kan designe et pragmatisk HA-setup og gennemføre dokumenterede failover-tests.
Klar til næste skridt?
Bo Diechmann
CEO