CARP mit OpenVPN

hoba · Sep 8, 2006, 11:26 AM

Glaube nicht, daß sich dahingehend was geändert hat, aber probiere es bitte mal mit dem letzten Snapshot nach einer frischen Installation.

Was meinst Du mit CARP auf COM? Zum Syncen der States, also quasi pfsync? pfsync und CARP sind eigentlich unterschiedliche Features, werden aber gerne gemeinsam eingesetzt.

JeGr · Sep 8, 2006, 1:18 PM

Mein Fehler :) Ja, ich meinte damit den Heartbeat, der in deinem Beispiel ja über OPT läuft. Die beiden Maschinen, die ich im Auge habe, haben aber Bauartbedingt nur 2 NICs. Nachdem ich heute in der jetztigen Konfiguration einen FailOver ausgelöst habe, sind mir die Haare büschelweise ausgefallen. Der neue Master fand keine default route, der "defekte" hat die Interfaces nicht gelöst etc etc. Alles unschön. Deshalb würde ich das gerne mit pfSense ablösen :)

hoba · Sep 8, 2006, 1:24 PM

Du brauchst nicht zwingend 3 Interfaces. Du kannst den SYNC auch auf dem LAN mitlaufen lassen. Würde ich für sinnvoller halten statt mit seriell anzufangen (falls das überhaupt geht, habe keine Ahnung). Der Heartbeat ist lediglich ein Broadcast alle Sekunde, der zudem ja mit dem Passwort der VHID vershlüsselt ist.

JeGr · Sep 8, 2006, 1:53 PM

Was würde dann passieren wenn ich ihm

a) das ext. IF
b) das int. IF

abziehe? Bei a) sicher der andere node übernehmen, aber bei b)? Wie bekommt der 2. Node dann den Ausfall mit? grübel

hoba · Sep 8, 2006, 2:35 PM

Der Broadcast vom Master fällt aus. Broadcasts laufen sowieso immer auf dem Interface auf dem die CARP IP sitzt, von daher ist es kein Unterschied.

http://www.countersiege.com/doc/pfsync-carp/ für technische Hintergründe.

JeGr · Sep 9, 2006, 7:19 PM

grusel ich habe wohl zu lange mit dieser Bastellösung verbracht und davon einiges in CARP reininterpretiert ;)

Ich werde dann später nochmal die Blackbox plätten und mit neuem Image versehen :)

JeGr · Sep 9, 2006, 8:54 PM

So nach dem neuen Aufsetzen der Blackbox mit dem 0607er Image habe ich wieder einen OVPN Server erzeugt. Vorher war nur LAN konfiguriert und sis1 (SYNC) und sis2 (WAN) eingestellt. Nach dem Erstellen des Servers war dann wiederum kein IF in den PF-Regeln zu sehen, aber unter "Interfaces/Assign.." konnte ich nun ein neues hinzufügen und dort "tun0" auswählen. Ich denke das sollte dann funktionieren, sofern ich nicht falsch liege, da tun0 ja von OVPN erst erstellt wird. Das PPPOE Interface heißt unter FreeBSD ja ng0 (oder irre ich da? Unter OpenBSD war es auch mal tun0, deshalb komme ich da immer mal wieder durcheinander ;))

–-

und sollte es Bedarf an Tests geben wg. den Freezes aus anderen Posts, lasst es mich wissen, die Blackbox (WRAP 128MB/3IF Version) ist noch nicht in Betrieb und kann "belastet" werden :)

hoba · Sep 9, 2006, 9:04 PM

Debugginghilfe für die Systemhänger wäre nett. Das Hauptproblem ist, daß es bei keinem der Devs und auch bei keinem meiner Produktivsysteme auftritt. Wenn Dein System die Probleme hat gib mir bitte bescheid, wir können Dir dann eine Version mit Debuggingkernel schicken zum testen.

JeGr · Sep 9, 2006, 9:25 PM

Sobald was auftritt hört ihr von mir. Irgendwelche speziellen Wünsche wie die Umgebung sein sollte? Als CARP oder ohne, reiner normaler Router oder dergleichen? Wie gesagt, sie ist momentan frei verfügbar.

hoba · Sep 9, 2006, 9:34 PM

Uns fehlen bisher Details, also würde ich sagen "beat the shit out of it and make it burn" ;D

JeGr · Sep 12, 2006, 7:58 AM

Gut, bisher läuft das erstmal vor sich hin :)

Was mir nun gestern noch aufgefallen ist bei der CARP Konfiguration: Die "preemption" Klausel ist nicht mehr im Interface. Gibt es da einen bestimmten Grund?

hoba · Sep 12, 2006, 9:26 PM

Preemption ist mittlerweile automatisch immer angeschaltet. CARP Loadbalancing gibt es nicht mehr. Daher sind diese beiden Optionen jetzt nicht mehr im GUI.

JeGr · Sep 13, 2006, 9:28 AM

CARP Loadbalancing

Nachdem ich gestern erst die OpenBSD CARP Seiten gelesen habe:

Gibt es generell nicht mehr in pfSense (wg.?) oder wurde anders gelöst, …?
CARP Loadbalancing sollte der Doku nach zu schließen ja gelöst werden, indem man die selbe virtuelle IP mit vertauschten Masterrollen und anderer VHID erneut vergibt, oder irre ich da?

hoba · Sep 13, 2006, 6:44 PM

Zum einen haben viele Leute CARP immer falsch konfiguriert, daher haben wir eine Abfrage eingebaut, die gleiche VHIDs nicht mehr zuläßt. Zum anderen hat CARP loadbalancing immer irgendwie zu Kernelpanics geführt, darum haben wir es herausgenommen (war damals aber auch noch eine alphaversion von FreeBSD 6.1). Abgesehen davon halten die Entwickler von CARP das loadbalancing auch nicht für optimal.

JeGr · Sep 14, 2006, 9:27 AM

OffT: Hmm, PF war von Daniel, CARP war sehr viel von Ryan, oder?

OnT: Da steht er nun, der arme Thor… Failover ist klar und funktioniert. Allerdings habe ich eine RZ Firewall, die ich über 2 Maschinen streuen wollte. Momentan steht eine nur Failover auf Abruf herum und tut nichts für ihr Geld. Wenn die genauso Pakete "bearbeiten" würde (und deshalb fand ich den CARP LB Ansatz interessant), wäre es nicht nur ein Standby-Failover. Hast du eine andere Möglichkeit im Kopf, wie das realisierbar wäre (oder vllt. übersehe ich vor lauter Bäumen was)?

Grüße
Grey

hoba · Sep 14, 2006, 10:59 PM

Nein, Du übersiehst nichts. Diese Konfiguration unterstützen wir nicht mehr, weil sie einfach nicht funktioniert hatte als wir sie getestet haben und kernel panics sind generell eine schlechte Sache ;)

Also ohne Backendmodifikationen kriegst Du das nicht mehr hin. U.u. hat das damals auch an der Alphaversion von FreeBSD 6.1 gelegen, aber es ist eigentlich generell nicht so sehr sinnvoll die Last auf 2 schwächere Maschinen zu verteilen, da dann beim Ausfall einer Maschine eine Überlastung der anderen auftritt. Sind beide Maschinen performant genug um einzeln mit der Last fertig zu werden sehe ich keinen Vorteil darin beide Maschinen gleichzeitig lastverteilt aktiv zu haben. Die Sache verhält sich natürlich anders, wenn Du so viel Last hast, daß eine einzelne performante Maschine dies nicht bewerkstelligen kann.

JeGr · Sep 20, 2006, 6:36 AM

Ein weiterer kleiner Punkt, den ich hier anfragen wollte (weil es zum "großen Ganzen" gehört ;)):

Ich bräuchte in der Konfiguration einen IP Alias (keine VIP) auf dem OPT1 (DMZ) Interface. Ich sehe aber nicht wirklich, dass das in der WebGUI vorgesehen ist. Übersehe ich da was (nix neues g) oder gibt es in der config.xml irgendwelche Settings, die man vorgeben könnte?

Dank und Gruß
Grey

hoba · Sep 20, 2006, 6:44 AM

Interface IP Alias wird bereits im HEAD code berücksichtigt und unterstützt. In der Version 1.0 (also RELENG_1) steht das leider noch nicht zur Verfügung. Du könntest Dir aber ein kleines Script schreiben, welches Du z.B. nach jedem Filterreload oder beim Booten ausführst (siehe http://faq.pfsense.com/index.php?action=artikel&cat=10&id=38&artlang=en&highlight=hidden ).