Problem mit einer virtuellen IP am EXT

hoba

Du könntest nochmal Typ CARP als VIP probieren. Was Du auf alle Fälle brauchst ist eine ART VIP, die auch Layer2-Messages generiert. Das mach nur Proxy ARP bzw CARP. In der HEAD Version gibt es noch einen zusätzlichen Typ VIP, der das macht, was du mit der Linuxfirewall gemacht hast. CARP oder ProxyARP sollte aber auch funktionieren (ich habe einige Installationnen draussen, die das gleiche machen, was Du versuchst einzurichten.

Du könntest auch spaßhalber mal den Providerrouter ausschalten bzw. rebooten. Vielleicht hat der Probleme mit seinem MAC cache (tritt gerne mal bei Cisco Routern auf).

rainer

@hoba:

Du könntest nochmal Typ CARP als VIP probieren. Was Du auf alle Fälle brauchst ist eine ART VIP, die auch Layer2-Messages generiert. Das mach nur Proxy ARP bzw CARP. In der HEAD Version gibt es noch einen zusätzlichen Typ VIP, der das macht, was du mit der Linuxfirewall gemacht hast. CARP oder ProxyARP sollte aber auch funktionieren (ich habe einige Installationnen draussen, die das gleiche machen, was Du versuchst einzurichten.

Du könntest auch spaßhalber mal den Providerrouter ausschalten bzw. rebooten. Vielleicht hat der Probleme mit seinem MAC cache (tritt gerne mal bei Cisco Routern auf).

was ist eine HEAD Version?

hoba

Developement Version von 2.0 sozusagen. Ist derzeit im Alphastadium.

rainer

@hoba:

Du könntest nochmal Typ CARP als VIP probieren. Was Du auf alle Fälle brauchst ist eine ART VIP, die auch Layer2-Messages generiert. Das mach nur Proxy ARP bzw CARP. In der HEAD Version gibt es noch einen zusätzlichen Typ VIP, der das macht, was du mit der Linuxfirewall gemacht hast. CARP oder ProxyARP sollte aber auch funktionieren (ich habe einige Installationnen draussen, die das gleiche machen, was Du versuchst einzurichten.

Du könntest auch spaßhalber mal den Providerrouter ausschalten bzw. rebooten. Vielleicht hat der Probleme mit seinem MAC cache (tritt gerne mal bei Cisco Routern auf).

Also, ich kriegs nicht hin. Ich habe das Problem nun bei mir zu Hause nachgestellt. Das gleiche Ergebnis.
Folgendes finde ich unter Show States:
tcp 192.168.110.254:25 <- 1.1.1.3:25 <- 1.1.1.4:1098 CLOSED:SYN_SENT

Das finde ich komisch. 1.1.1.4 ist mein Laptop (soll den externen Zugriff simulieren), 1.1.1.3 ist die PFSense am VIP und 192.168.110.254 ist die PFSense am LAN. Auf 192.168.110.101 (PC) laeuft ein SMTP Server (testhalber).
Dieser scheint aber in den States nicht auf.
Statt der 192.168.110.254 wuerde ich die 192.168.110.101 erwarten.
Ich glaube, irgendwas mache/verstehe ich prinzipiell falsch.

rainer

@rainer:

@hoba:

Du könntest nochmal Typ CARP als VIP probieren. Was Du auf alle Fälle brauchst ist eine ART VIP, die auch Layer2-Messages generiert. Das mach nur Proxy ARP bzw CARP. In der HEAD Version gibt es noch einen zusätzlichen Typ VIP, der das macht, was du mit der Linuxfirewall gemacht hast. CARP oder ProxyARP sollte aber auch funktionieren (ich habe einige Installationnen draussen, die das gleiche machen, was Du versuchst einzurichten.

Du könntest auch spaßhalber mal den Providerrouter ausschalten bzw. rebooten. Vielleicht hat der Probleme mit seinem MAC cache (tritt gerne mal bei Cisco Routern auf).

Also, ich kriegs nicht hin. Ich habe das Problem nun bei mir zu Hause nachgestellt. Das gleiche Ergebnis.
Folgendes finde ich unter Show States:
tcp 192.168.110.254:25 <- 1.1.1.3:25 <- 1.1.1.4:1098 CLOSED:SYN_SENT

Das finde ich komisch. 1.1.1.4 ist mein Laptop (soll den externen Zugriff simulieren), 1.1.1.3 ist die PFSense am VIP und 192.168.110.254 ist die PFSense am LAN. Auf 192.168.110.101 (PC) laeuft ein SMTP Server (testhalber).
Dieser scheint aber in den States nicht auf.
Statt der 192.168.110.254 wuerde ich die 192.168.110.101 erwarten.
Ich glaube, irgendwas mache/verstehe ich prinzipiell falsch.

OK, ich habe nun alles mal auf factory defaults gesetzt und neu angefangen und siehe da, es geht  :)
Ich trau's mich ja kaum zu fragen, aber was ich nicht zusammengebracht habe, ist ICMP am VIRT. IF zu erlauben.
Gibts da einen Trick?

hoba

Hast Du das Protokoll ICMP auch geforwardet? Welchen Typ Virtueller IP benutzt Du jetzt?

rainer

@hoba:

Hast Du das Protokoll ICMP auch geforwardet? Welchen Typ Virtueller IP benutzt Du jetzt?

Nein, ICMP habe ich nicht geforwarded. Muss ich das bei pfSense?
Proxy ARP verwende ich.

hoba

ICMP = Ping  ;D

So was Blödes, kann man ja gar nicht forwarden  :o

rainer

@hoba:

ICMP = Ping  ;D

OK, danke fuer deine Hilfe.
Nur, dass ICMP=Ping ist, war mir schon klar. Nur, dass ich es es auch forwarden muss, darauf bin ich nicht gekommen.
War gewohnt, dass das virtuelle IF selbst antwortet.

lg rainer

hoba

Das funktioniert, wenn Du als Virtuelle IP CARP benutzt, weil diese IP dann direkt von der Firewall benutzt werden kann. ProxyARP läßt sich nur weiterleiten.

rainer

@hoba:

Das funktioniert, wenn Du als Virtuelle IP CARP benutzt, weil diese IP dann direkt von der Firewall benutzt werden kann. ProxyARP läßt sich nur weiterleiten.

Ah, OK. Ich gebe zu, ich habe keine Ahnung von CARP und habe mich davon abschrecken lassen, da ich dafuer ein Passwort, etc. eingeben muss. Da dachte ich mir gleich, dass es das nicht sein wird. Werde mich mal diesbezueglich bilden ;-)
Danke uebrigens fuer deine schnellen Antworten :-))

hoba

CARP ist eigentlich für ein Clustersetup gedacht und da ist der Verkehr zwischen den Clustermitgliedern verschlüsselt. Andererseits ist eine Cluster, in der eine einzige Maschine nur noch aktiv ist, ja auch nichts anderes, als das was Du machen willst  ;)

rainer

Passt jetzt alles. Der Switch hat einen Vogel gehabt.
Er hat sich die ARP Entries ewig gemerkt. –> neuer Switch.

lg rainer

hoba

Super! Danke für die Rückmeldung bzw. Ehrenrettung  ;D