[résolu]Fail over sur VMWare ESXi 6.x
-
Bonjour,
je me présente rapidement, je suis ingénieur système unix, et j'ai une petite infra chez moi pour m'occuper le week end :)
Le contexte :
utilisation domestique de deux firewall pfsense 2.4 (dernière mise à jour) virtualisés sur VMWARE esxi, et configurés en failover.
La quincaillerie:
2 serveurs esxi 6.5
Chaque serveur esxi possède 2 cartes réseaux : 1 carte dédiée pour le WAN, et 1 carte pour les différents autres VLANs (taggés au niveau vswitch de l'esx)
Deux vswitch sont configurés dans les deux esx , le vswitch0 pour les lans (VLANG Taggés 802.1q), et le vswitch1 pour le wan (non taggé)
les deux vswitch sur chaque esx, ont les options spéciales comme indiqué dans : https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)
Les esx sont interconnectés via un switch administrable (TP-Link TL-SG108E) portant les vlan par port ainsi qu'un trunk pour (entre autres) l'interconnexion avec le wan situé dans une autre pièce (même modèle de switch tp-link aux deux extrémités)
**La config pfsense *** 1 pfsense sur chaque esx, chaque pfsense dispose de plusieurs interfaces, dont 1 pour le wan, et plusieurs pour les lans
l'interface d'admin des pfenses est sur un des lans.- 1 interface virtuelle (CARP) pour chaque lan (pas besoin pour le wan, seuls les pfsenses ont accès à ce réseau)
La synchro est activée, pour les tables d'état et la config, cette synchro fonctionne bien (interfaces en master sur un pfsense et en backup sur l'autre).
Le problème
Lorsque je coupe le firewall master, l'autre prend bien le relai, en ce sens que le statut CARP indique bien master sur le deuxième firewall,
par contre au niveau ARP sur un poste client, l'adresse MAC ne se met pas à jour et pointe toujours sur le premier firewall.Donc dans la pratique, ça ne marche pas !
Je ne suis pas spécialiste des protocoles réseau de bas niveau (genre ARP justement), et je ne vois pas trop ce que j'aurais pu oublier dans cette configuration.
Si quelqu'un aurait une config équivalente ou idée de ce qui ne va pas cela m'aiderait bien, car je sèche depuis un moment sur ce problème.
Merci d'avance.****
-
Rapidement à propos de arp, peut-être un paramètre du vswitch pour autoriser "l'usurpation" d'adresse mac.
Je n'ai plus les noms des paramètres en tête. Voir propriétés - sécurité des Vswitchs. -
Quoi de mieux que la documentation :-)
https://doc.pfsense.org/index.php/CARP_Configuration_Troubleshooting
-
Merci, je ne l'avais pas vu cette page sur le troubleshooting de CARP.
-
Hello,
voici la solution qui va bien :
Changing Net.ReversePathFwdCheckPromisc
Login VMware vSphere Client
For each VMWare host
Click on host to configure and select Configuration Tab
Click Software Advanced Settings in left pane
Click on Net and scroll down to Net.ReversePathFwdCheckPromisc and set to 1Avec cette modif c'est une adresse mac virtuelle qui est propagée au lieu de l'adresse réelle.
Merci encore.