Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    CARP mit OpenVPN

    Scheduled Pinned Locked Moved Deutsch
    25 Posts 2 Posters 10.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H Offline
      hoba
      last edited by

      Glaube nicht, daß sich dahingehend was geändert hat, aber probiere es bitte mal mit dem letzten Snapshot nach einer frischen Installation.

      Was meinst Du mit CARP auf COM? Zum Syncen der States, also quasi pfsync? pfsync und CARP sind eigentlich unterschiedliche Features, werden aber gerne gemeinsam eingesetzt.

      1 Reply Last reply Reply Quote 0
      • JeGrJ Offline
        JeGr LAYER 8 Moderator
        last edited by

        Mein Fehler :) Ja, ich meinte damit den Heartbeat, der in deinem Beispiel ja über OPT läuft. Die beiden Maschinen, die ich im Auge habe, haben aber Bauartbedingt nur 2 NICs. Nachdem ich heute in der jetztigen Konfiguration einen FailOver ausgelöst habe, sind mir die Haare büschelweise ausgefallen. Der neue Master fand keine default route, der "defekte" hat die Interfaces nicht gelöst etc etc. Alles unschön. Deshalb würde ich das gerne mit pfSense ablösen :)

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • H Offline
          hoba
          last edited by

          Du brauchst nicht zwingend 3 Interfaces. Du kannst den SYNC auch auf dem LAN mitlaufen lassen. Würde ich für sinnvoller halten statt mit seriell anzufangen (falls das überhaupt geht, habe keine Ahnung). Der Heartbeat ist lediglich ein Broadcast alle Sekunde, der zudem ja mit dem Passwort der VHID vershlüsselt ist.

          1 Reply Last reply Reply Quote 0
          • JeGrJ Offline
            JeGr LAYER 8 Moderator
            last edited by

            Was würde dann passieren wenn ich ihm

            a) das ext. IF
            b) das int. IF

            abziehe? Bei a) sicher der andere node übernehmen, aber bei b)? Wie bekommt der 2. Node dann den Ausfall mit? grübel

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • H Offline
              hoba
              last edited by

              Der Broadcast vom Master fällt aus. Broadcasts laufen sowieso immer auf dem Interface auf dem die CARP IP sitzt, von daher ist es kein Unterschied.

              http://www.countersiege.com/doc/pfsync-carp/ für technische Hintergründe.

              1 Reply Last reply Reply Quote 0
              • JeGrJ Offline
                JeGr LAYER 8 Moderator
                last edited by

                grusel ich habe wohl zu lange mit dieser Bastellösung verbracht und davon einiges in CARP reininterpretiert ;)

                Ich werde dann später nochmal die Blackbox plätten und mit neuem Image versehen :)

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • JeGrJ Offline
                  JeGr LAYER 8 Moderator
                  last edited by

                  So nach dem neuen Aufsetzen der Blackbox mit dem 0607er Image habe ich wieder einen OVPN Server erzeugt. Vorher war nur LAN konfiguriert und sis1 (SYNC) und sis2 (WAN) eingestellt. Nach dem Erstellen des Servers war dann wiederum kein IF in den PF-Regeln zu sehen, aber unter "Interfaces/Assign.." konnte ich nun ein neues hinzufügen und dort "tun0" auswählen. Ich denke das sollte dann funktionieren, sofern ich nicht falsch liege, da tun0 ja von OVPN erst erstellt wird. Das PPPOE Interface heißt unter FreeBSD ja ng0 (oder irre ich da? Unter OpenBSD war es auch mal tun0, deshalb komme ich da immer mal wieder durcheinander ;))

                  –-

                  und sollte es Bedarf an Tests geben wg. den Freezes aus anderen Posts, lasst es mich wissen, die Blackbox (WRAP 128MB/3IF Version) ist noch nicht in Betrieb und kann "belastet" werden :)

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • H Offline
                    hoba
                    last edited by

                    Debugginghilfe für die Systemhänger wäre nett. Das Hauptproblem ist, daß es bei keinem der Devs und auch bei keinem meiner Produktivsysteme auftritt. Wenn Dein System die Probleme hat gib mir bitte bescheid, wir können Dir dann eine Version mit Debuggingkernel schicken zum testen.

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ Offline
                      JeGr LAYER 8 Moderator
                      last edited by

                      Sobald was auftritt hört ihr von mir. Irgendwelche speziellen Wünsche wie die Umgebung sein sollte? Als CARP oder ohne, reiner normaler Router oder dergleichen? Wie gesagt, sie ist momentan frei verfügbar.

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • H Offline
                        hoba
                        last edited by

                        Uns fehlen bisher Details, also würde ich sagen "beat the shit out of it and make it burn"  ;D

                        1 Reply Last reply Reply Quote 0
                        • JeGrJ Offline
                          JeGr LAYER 8 Moderator
                          last edited by

                          Gut, bisher läuft das erstmal vor sich hin :)

                          Was mir nun gestern noch aufgefallen ist bei der CARP Konfiguration: Die "preemption" Klausel ist nicht mehr im Interface. Gibt es da einen bestimmten Grund?

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          1 Reply Last reply Reply Quote 0
                          • H Offline
                            hoba
                            last edited by

                            Preemption ist mittlerweile automatisch immer angeschaltet. CARP Loadbalancing gibt es nicht mehr. Daher sind diese beiden Optionen jetzt nicht mehr im GUI.

                            1 Reply Last reply Reply Quote 0
                            • JeGrJ Offline
                              JeGr LAYER 8 Moderator
                              last edited by

                              CARP Loadbalancing

                              Nachdem ich gestern erst die OpenBSD CARP Seiten gelesen habe:

                              Gibt es generell nicht mehr in pfSense (wg.?) oder wurde anders gelöst, …?
                              CARP Loadbalancing sollte der Doku nach zu schließen ja gelöst werden, indem man die selbe virtuelle IP mit vertauschten Masterrollen und anderer VHID erneut vergibt, oder irre ich da?

                              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                              1 Reply Last reply Reply Quote 0
                              • H Offline
                                hoba
                                last edited by

                                Zum einen haben viele Leute CARP immer falsch konfiguriert, daher haben wir eine Abfrage eingebaut, die gleiche VHIDs nicht mehr zuläßt. Zum anderen hat CARP loadbalancing immer irgendwie zu Kernelpanics geführt, darum haben wir es herausgenommen (war damals aber auch noch eine alphaversion von FreeBSD 6.1). Abgesehen davon halten die Entwickler von CARP das loadbalancing auch nicht für optimal.

                                1 Reply Last reply Reply Quote 0
                                • JeGrJ Offline
                                  JeGr LAYER 8 Moderator
                                  last edited by

                                  OffT: Hmm, PF war von Daniel, CARP war sehr viel von Ryan, oder?

                                  OnT: Da steht er nun, der arme Thor… Failover ist klar und funktioniert. Allerdings habe ich eine RZ Firewall, die ich über 2 Maschinen streuen wollte. Momentan steht eine nur Failover auf Abruf herum und tut nichts für ihr Geld. Wenn die genauso Pakete "bearbeiten" würde (und deshalb fand ich den CARP LB Ansatz interessant), wäre es nicht nur ein Standby-Failover. Hast du eine andere Möglichkeit im Kopf, wie das realisierbar wäre (oder vllt. übersehe ich vor lauter Bäumen was)?

                                  Grüße
                                  Grey

                                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                  1 Reply Last reply Reply Quote 0
                                  • H Offline
                                    hoba
                                    last edited by

                                    Nein, Du übersiehst nichts. Diese Konfiguration unterstützen wir nicht mehr, weil sie einfach nicht funktioniert hatte als wir sie getestet haben und kernel panics sind generell eine schlechte Sache  ;)

                                    Also ohne Backendmodifikationen kriegst Du das nicht mehr hin. U.u. hat das damals auch an der Alphaversion von FreeBSD 6.1 gelegen, aber es ist eigentlich generell nicht so sehr sinnvoll  die Last auf 2 schwächere Maschinen zu verteilen, da dann beim Ausfall einer Maschine eine Überlastung der anderen auftritt. Sind beide Maschinen performant genug um einzeln mit der Last fertig zu werden sehe ich keinen Vorteil darin beide Maschinen gleichzeitig lastverteilt aktiv zu haben. Die Sache verhält sich natürlich anders, wenn Du so viel Last hast, daß eine einzelne performante Maschine dies nicht bewerkstelligen kann.

                                    1 Reply Last reply Reply Quote 0
                                    • JeGrJ Offline
                                      JeGr LAYER 8 Moderator
                                      last edited by

                                      Ein weiterer kleiner Punkt, den ich hier anfragen wollte (weil es zum "großen Ganzen" gehört ;)):

                                      Ich bräuchte in der Konfiguration einen IP Alias (keine VIP) auf dem OPT1 (DMZ) Interface. Ich sehe aber nicht wirklich, dass das in der WebGUI vorgesehen ist. Übersehe ich da was (nix neues g) oder gibt es in der config.xml irgendwelche Settings, die man vorgeben könnte?

                                      Dank und Gruß
                                      Grey

                                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                      1 Reply Last reply Reply Quote 0
                                      • H Offline
                                        hoba
                                        last edited by

                                        Interface IP Alias wird bereits im HEAD code berücksichtigt und unterstützt. In der Version 1.0 (also RELENG_1) steht das leider noch nicht zur Verfügung. Du könntest Dir aber ein kleines Script schreiben, welches Du z.B. nach jedem Filterreload oder beim Booten ausführst (siehe http://faq.pfsense.com/index.php?action=artikel&cat=10&id=38&artlang=en&highlight=hidden ).

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.