Carp e Ipsec
-
hola
tengo montados dos pfsense con sincronizacion por carp y dos tueneles uno en cada uno de ellos. Hasta aqui todo correcto. El problema vienen porque un tenel es el backup del otro y si el tunel se cae el pfsense no se entera de que se ha caido y el pfsense de backup no entra a funcionar.
lo que necesito es que cuando un tunel ipsec del equipo master se caiga o no funcione, el pfsense pase el funcionamiento al equipo backup para que el trafico vaya por el segundo tunel.
¿alguna idea??? muchas gracias
-
http://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_%28CARP%29
He buscado un poco:
Google carp ipsec site:pfsense.org
sin encontrar nada concluyente.
http://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_%28CARP%29
Sin embargo, se me ocurre que con una combinación de reglas con No XMLRPC Sync marcado igual se puede "detectar" la caída.
De todas maneras, ¿qué puede provocar la caída del túnel en tu instalación, que no sea la caída de todo el equipo?
Entiendo que si cae todo el primer equipo entra el segundo y se establece el túnel…
-
Al parecer, OpenBSD (padre de PF, Packet Filter) tiene una herramienta precisamente para eso…
http://www.openbsd.org/cgi-bin/man.cgi?query=sasyncd&sektion=8
http://nomoa.com/bsd/gateway/highavailability/carp.html
El problema es que un cortafuegos OpenBSD hay que montarlo todo desde la línea de comandos...
-
Hola
al final lo he resuelto con scripts que se lanzan desde un crontab.
El problema de la caida del tunel puede venir porque el otro extremo del tunel se caiga y en ese caso el pfsense ni se entera. En ese caso cuando el otra extremo se cae el trafico del otro extremo me llega por el backup pero la vuelta como la envia la ip virtual a sigue asumiendo el master y este no puede gestionar el envio porque el tunel esta caido.
como digo lo he solventado con script´s.
Gracias no obstante.