CARP Problem
-
Hallo zusammen,
ich habe ein Problem mit pfsense 2.3.4 und CARP.
Anbei findet ihr ein Schema unseres Netzes.
Die CARP-Konfiguration für die beiden Subnetze funktioniert einwandfrei, nur die Konfig des WANs zum Gateway und dem Internet funktioniert mit CARP nicht.
Wir benutzen neben der CARP VIP für das WAN Interface noch 22 andere VIPs, die auf dem gleichen Interface auf Anfragen hören (und deren NAT auch funktioniert).
Zur Zeit ist nur eine der beiden FWs in Betrieb und übernimmt auf dem WAN Interface die IP XXX.XXX.XXX.212, ohne eine CARP-VIP zu haben. Sobald wir die IP auf XXX.XXX.XXX.221 und als CARP XXX.XXX.XXX.212 umstellen, werden Anfragen aus dem Netz nicht mehr auf die XXX.XXX.XXX.212 zurückgereicht, sondern auf die XXX.XXX.XXX.221.Als einzige Route ist das Gateway XXX.XXX.XXX.209 auf dem WAN eingestellt.
Übersehe ich irgendwo etwas? Kann CARP überhaupt mit mehreren anderen VIPs auf dem gleichen Interface funktionieren?
Beste Grüße,
K
-
Hallo,
ich kann diesem Satz nicht ganz folgen:
@SchirikiVII:Sobald wir die IP auf XXX.XXX.XXX.221 und als CARP XXX.XXX.XXX.212 umstellen, werden Anfragen aus dem Netz nicht mehr auf die XXX.XXX.XXX.212 zurückgereicht, sondern auf die XXX.XXX.XXX.221.
Meinst du hier Anfragen aus dem internen Netz, die nach extern die XXX.XXX.XXX.221 bekommen?
Wenn ja, ist dein Problem wohl das Outbound NAT. Dieses ist bei CARP manuell zu konfigurieren. Standardmäßig verwendet es immer die WAN-Adresse nach außen.
Firewall > NAT > Outbound
Vermutlich steht es im Automatic-Mode. Ändere diesem auf Manuell und ändere dann in den automatisch generierten Regeln für das WAN Interface die Translation address auf deine CARP-VIP.Grüße
-
Hi,
ich versuche, es nochmal zu umschreiben.
Wenn wir ins Internet gehen, hat die Firewall OHNE CARP die IP X.X.X.212. Das selbe wollen wir natürlich auch für die Firewall MIT CARP erreichen. Da bekommen aber alle Anfragen die WAN IP X.X.X.221, anstatt richtiger Weise die X.X.X.212.
Aber ich denke, du hast das Problem schon erkannt, ich werde das NAT mal bearbeiten und mich dann wieder melden.
Vielen Dank schonmal!
mfG,
K -
Wenn ja, ist dein Problem wohl das Outbound NAT. Dieses ist bei CARP manuell zu konfigurieren. Standardmäßig verwendet es immer die WAN-Adresse nach außen.
Firewall > NAT > Outbound
Vermutlich steht es im Automatic-Mode. Ändere diesem auf Manuell und ändere dann in den automatisch generierten Regeln für das WAN Interface die Translation address auf deine CARP-VIP.Das war die Lösung! ;D Ich bedanke mich vielmals!!!
Beste Grüße!
K