Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    CARP: WAN Konfig Frage

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 2 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ExordiumE
      Exordium
      last edited by

      Moin.

      Mal ne Verständnisfrage zur WAN-Konfig in einem CARP Cluster. Ich habe mein CARP anhand des Beispiels wie in den pfSense Docs konfiguriert. Allerdings bedeutet das bei der jetzigen Konfiguration den Einsatz von 3 "offiziellen" IP-Adressen (Zwei für die Hardware WAN Schnittstellen, eine für die VIP). Eigentlich müsste es doch möglich sein, nur die VIP mit einer offiziellen IP zu versehen und die WAN Interfaces mit privaten IPs und dann "irgendwie" mit entsprechenden NAT-Regeln zu behandeln. Der (Provider-)Router vor der pfSense reicht ein offizielles /27 IPv4 Netz durch.
      Von daher habe ich zwar ausreichend v4 Adressen für die Kisten, aber verschwenden muss man sie ja auch nicht unbedingt.

      Also: Ist das möglich? Gibt es ggf. irgendwelche Probleme mit Diensten die direkt auf der Firewall, bzw. dahinter laufen?
      Momentan läuft schon eine IPSec Verbindung produktiv über die aktuelle Config. Diese sollte möglichst danach immer noch funktionieren, falls ich da was ändere…

      - pfSense Gold Subscriber -

      Sense 1: Shuttle DS57U3 (private)
      Sense 2: Supermicro Atom Barebone (Company Test)
      Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office)

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Minimum of three IP addresses per subnet (one for primary, one for secondary, one or more for CARP VIPs) – This can be avoided on pfSense 2.2, but is still recommended.

        Ja das ist seit pfSense 2.2 möglich.

        -> https://doc.pfsense.org/index.php/High_Availability

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • ExordiumE
          Exordium
          last edited by

          This can be avoided on pfSense 2.2, but is still recommended.

          Klingt nach: "Zu Risiken oder Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker".
          Dann lass ich lieber erstmal die Finger davon. Experimentieren kann ich mir hier nicht erlauben.

          Trotzdem danke für den Hinweis!

          - pfSense Gold Subscriber -

          Sense 1: Shuttle DS57U3 (private)
          Sense 2: Supermicro Atom Barebone (Company Test)
          Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office)

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Klingt nach: "Zu Risiken oder Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker".

            Nö. Es ist eine Variante, die seit dem Umstieg auf FreeBSD 10 zur Verfügung steht, weil damit auch pf und carp in neuer Version zur Verfügung stehen und nun keine physikalisch gleiche IP mehr auf dem Interface brauchen für CARP. Dass es trotzdem empfohlen ist, liegt eher in der sinnvolleren Debugging und Netzlayer Verfügbarkeit weil man von außen sonst die Knoten direkt einfach nicht erreichen kann. Das hat aber nichts mit Funktion zu tun.

            Ist hier zu sehen: https://forum.pfsense.org/index.php?topic=87546.0
            Läuft seit 2015 schon.

            Gruß

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • ExordiumE
              Exordium
              last edited by

              @JeGr:

              Dass es trotzdem empfohlen ist, liegt eher in der sinnvolleren Debugging und Netzlayer Verfügbarkeit weil man von außen sonst die Knoten direkt einfach nicht erreichen kann.

              Das ist natürlich ein gutes "Pro"-Argument. Dann lass ich die Konfig so wie sie ist.

              - pfSense Gold Subscriber -

              Sense 1: Shuttle DS57U3 (private)
              Sense 2: Supermicro Atom Barebone (Company Test)
              Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office)

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.