Setting up CARP cluster for LAN and WAN VIPs at the same time

sullrich

Recent snapshots sync the time with ntpdate on bootup.  Please upgrade.

heiko

Hello,

i think i misunderstand something. I have also a carp cluster with 25 ipsec tunnels and all works fine without ipsec. The Master WAN Ip ist 217.6.55.4 , the backup carp ist 217.6.55.5 and the VIP ist 217.6.55.6. On the master i cannot change anything on the tunnel def., because the remote side is setting to 217.6.55.4. In the carp cluster i syncronize IPSEC, so when the master fails, the remote side have a settting to 217.6.55.4, but the backup member is 217.6.55.5. I can set the ipsec failover on the master to the vip 217.6.55.6 but i cannot understand this scenario, because the backup member ist at the WAN 217.6.55.5…..

I think, i get a little bit help to understand the settings.... a liitle bit confusing?

Grreetings from Germany
Heiko

sullrich

#1. Setup your tunnels to use "IP address" and the VIP carp member
#2. Visit Vpn, IPSEC, Failover IPSEC, define the VIP ip address
#3. Visit the other end of the tunnel, make sure the remote gateway is
set as the CARP VIP
#4. There is no step 4.  Enjoy your failover IPSEC.

heiko

Hello,

it´s all greek to me. Scott, i found this with google, but i understand not which settings are do you mean

–> Setup your tunnels to use "IP address" and the VIP carp member

Do you mean the tunnel settings my identifier as the ip adress?
I have to have lost one's way...., i think

Thank you for your help!
Heiko

sullrich

IP address = CARP public ip

heiko

Hello Scott,

excuse me…

do you mean the settings in the conn. of ipsec or other...?

i`m stupid

Heiko

hoba

vpn>ipsec, failover tab. Set your shared CARP IP there.

heiko

Hallo Hoba,
ich schreibs noch einmal auf deutsch, habe wahrscheinlich wirklich nen Brett vorm Kopf. Tut mir leid, aber ich will´s halt verstehen..

wenn ich doch zwei wan-adressen und eine vip wan habe, diese  als failover einsetze, die tunnel doch aber auf die wan adresse des masters gemappt sind, wie funktioniert dann ein failover. oder wird in einem Carp Cluster mit eingesetzter VIP als IPSEC failover immer diese in die racoon.conf geschrieben und die eigentliche WAN Adresse des masters vernachlässigt?

Vielleicht verstehe ich es ja diese Jahr noch?
Gruß
Heiko

hoba

Richtig, die im IPSEC failover tab angegebene Adresse wird dann für den lokalen IPSEC Traffic verwendet und kann somit auch vom Slave übernommen werden.

heiko

danke, jetzt habe ich es
gruß
heiko