Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    CARP - беспречинные переключения

    Scheduled Pinned Locked Moved Russian
    3 Posts 2 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      paran0id
      last edited by

      Есть два шлюза под pfsense 2.1-RELEASE  (i386),  объединены в CARP. Периодически случаются переключения без видимых причин. CARP/pfsync вынесен в отдельный VLAN (но на том же физическом интерфейсе, где LAN), нагрузка на процессор, память, сеть и IO низкая, в логах в момент переключения следующее:

      Dec  5 13:17:25 gw01 kernel: opt3_vip4: MASTER -> BACKUP (more frequent advertisement received)
Dec  5 13:17:25 gw01 kernel: opt3_vip4: link state changed to DOWN
Dec  5 13:17:25 gw01 kernel: opt1_vip2: MASTER -> BACKUP (more frequent advertisement received)
Dec  5 13:17:25 gw01 kernel: opt1_vip2: link state changed to DOWN
Dec  5 13:17:25 gw01 kernel: lan_vip1: MASTER -> BACKUP (more frequent advertisement received)
Dec  5 13:17:25 gw01 kernel: lan_vip1: link state changed to DOWN
Dec  5 13:17:25 gw01 php: rc.carpbackup: Stopping OpenVPN instance on opt1_vip2 because of transition to CARP backup.
Dec  5 13:17:25 gw01 kernel: ovpnc1: link state changed to DOWN
Dec  5 13:17:25 gw01 check_reload_status: Reloading filter
Dec  5 13:17:26 gw01 kernel: wan_vip3: MASTER -> BACKUP (more frequent advertisement received)
Dec  5 13:17:26 gw01 kernel: wan_vip3: link state changed to DOWN

      К тому же, иногда случаются ошибки синхронизации конфигурации ("недоступен второй шлюз"). Это случается реже и не совпадает с переключением CARP. Доступность шлюзов мониторится из локальной сети пингом - связь с ними не теряется. Шлюзы стоят на реальном железе, не виртуалки.

      Пытался локализовать проблему: менял местами харды в шлюзах - не помогло, т.е. дело не в сбойном железе на одном из них; выносил CARP/pfsync в тот VLAN, где находится LAN - не помогло.

      Где искать?

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Эээ. Может CARP в 2.1 как-то изменился ?

        https://doc.pfsense.org/index.php/2.1_New_Features_and_Changes#High_Availability_.28CARP.2C_pfSync.2C_XML-RPC.29

        Removed the automatic pfsync rule, since the documentation always recommends adding it manually, and to add it behind the scenes with no way to block it can be counter-productive (and potentially insecure). If you did not follow the documentation and add your own pfsync or allow all rule on the sync interface, your state synchronization may break after this upgrade. Add an appropriate rule to the sync interface and it will work again.

        1 Reply Last reply Reply Quote 0
        • P
          paran0id
          last edited by

          На этом интерфейсе позволены IPv4 PFSYNC, IPv4 CARP и ICMP на все хосты этой подсети. И в принципе CARP работает, но иногда глючит.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.