Probleme mit CARP Status
-
Hallo zusammen,
Wir haben bei uns 2 PFSense im HA Cluster laufen unter der Version 2.4.2-p1 es läuft soweit auch alles stabil und das Failover funktioniert auch soweit Ohne Probleme. Da nun ein weiters Netz bei uns dazu gekommen ist in dem unsere Abfüllmaschinen stehen sollen habe ich auf dem Master wie auch auf dem Slafe das Interface Opt3 als Maschinennetz definiert. Dem Interface auf dem Master habe ich die xxx.xxx.123.13 /24 und dem Interface des Slave die Adresse xxx.xxx.123.14 /24 gegeben. Im nächsten Schritt habe ich dann Auf dem Master eine Virtuelle IP angelegt, diese lautet xxx.xxx.123.12 /24 speichere ich die Virtuelle IP wie gewünscht automatisch an den Slave sank eingerichtetem XMLRPC Sync Synchronisiert. Soweit so gut jetzt kommt jedoch das Problem. Schaue ich auf dem Master ist das Interface als Master definiert. Auf dem Slave erscheint dieses im gegensatz zu den anderen bereits vorhandenen Netzen ebenfalls als Master. Nach etwas rechereche im Internet habe ich dann herausgefunden dass die beiden Werte inter der Update Frequenz bestimmen welches Gerät Master und welches Slave spielt. Die Werte sind wie bei den Funktionierenden Auf dem Master bei 1 und 0 auf dem Slave bei 1 und 100. Ein ändern der Werte brachte keine Veränderung an der Situation. Auch ein kompletter Shutdown der beiden Firewalls brachte keinen erfolg an dem Problem.
Die Beiden PFSense laufen auf folgender Hardware: AR Infotek 5020
Es sind auf der PFSense keien VLANs angelegt.Insgesamt sind 11 funktionierende Virtuelle IPs eingerichtet die auch Problemlos funktionieren nur eben die neu dazu gekommene 12. Virtuelle IP Adresse funktioniert nicht.
Ich hoffe mir kann bei dem Thema jemand auf die Sprünge helfen damit ich dieses "Projekt" nun auch abschließen kann.
Danke bereits jetzt schon einmal für das durchlesen meines Problems.
Sollten noch Informationen über das Problem fehlen bitte Bescheid geben damit ich diese nachreichen kann.Gruß
schnaepper -
Hallo!
Insgesamt sind 11 funktionierende Virtuelle IPs eingerichtet die auch Problemlos funktionieren nur eben die neu dazu gekommene 12. Virtuelle IP Adresse funktioniert nicht.
Hat die Hardware so viele Netzwerk-Schnittstellen oder liegen da mehrere auf einer?
Ursache für den Problem ist oft, dass Master und Slave am jeweiligen Interface nicht über das VRP Protokoll kommunizieren können.
Die Firewall-Regel an den Interfaces auf beiden Seiten gesetzt? -
Hallo Viragomann,
Hat die Hardware so viele Netzwerk-Schnittstellen oder liegen da mehrere auf einer?
es sind mehrer Virtuelle IPs auf dem WAN Inteface angelgt.
Ursache für den Problem ist oft, dass Master und Slave am jeweiligen Interface nicht über das VRP Protokoll kommunizieren können.
Die Firewall-Regel an den Interfaces auf beiden Seiten gesetzt?Welche Regeln meinst du genau? Auf dem entsprechenden Interface sind noch keine Regeln angelegt. Auf den Funktionierenden habe ich jetz aber keine Regel gefunden die dem Entsprechen würde. Zudem gibt es unter den Regeln auch kein VRP Protokoll zum auswählen.
Wäre nett von dir wenn du mir genauer erläutern könntest was du genau damit meinst. -
Insgesamt sind 11 funktionierende Virtuelle IPs eingerichtet die auch Problemlos funktionieren nur eben die neu dazu gekommene 12. Virtuelle IP Adresse funktioniert nicht.
Kannst du bitte ausführen, wie die wo und in welcher Art konfiguriert sind, wenn da keine VLANs im Spiel sind? Da ich zur Hardware keine Infos sehe/finde ist das sonst schwer zu erkennen. Ein Single SplitBrain kommt aber meist daher, wenn sich Master und Slave auf dem Interface nicht sehen oder nicht korrekt kommunizieren können. Also meist eher ein Layer2/3 Problem an dem Interface.
-
es sind mehrer Virtuelle IPs auf dem WAN Inteface angelgt.
Mehrere CARP am WAN? Das sorgt doch für unnötige Netzlast. 1 CARP-VIP reicht, die übrigen können IP Aliases sein.
Nein, das mit der Regel war ein Irrtum. Das wäre in der pfSense das CARP Protokoll, eine entsprechende (unsichtbare) Regel wird aber automatisch gesetzt, wenn auf einem Interface eine CARP-VIP eingerichtet wird.
Wie erwähnt, stelle sicher, dass die beiden OPT3 Interfaces miteinander kommunizieren können. Die VRRP-Pakete kannst du auch mit Paket Capture an den jeweiligen Interfaces überprüfen.
Auch sollten den beiden OPT3 Interfaces der selbe Hardware-Netzwerkport (Treiber) zugrunde liegen, also auf beiden bspw. re2.
-
Hallo JeGr,
die VIPs sind wie auf dem Screenshot zu sehen auf beiden Geräten angelegt. Eben nur das rot eingekreiste Netz also das Maschinennetz funktioniert nicht. Hilft dir das weiter? Falls du was anderes gemeint hast bitte um Entschuldigung stehe grad n bisschen auf m Schlauch :o
-
Hallo zusamme,
so wie es aussieht habe ich irgendwo in der Verkabelung des Maschinennetzes einen Fehler zu haben.
Ich habe gerade versuchsweise mal die beiden Ports auf einen extra Switch gesteckt. Siehe da es funktioniert wie es soll.
Scheinbar doch kein Layer 2/3 Problem sondern eher ein Layer 8 Problem ::) ::)
Werde heute Mittag mal die Verkabelung genau Überprüfen und ecuh dann Rückmeldung geben.
Danke euch für eure Schnelle Hilfe wäre wohl Ohne den Tipp mit dem Layer 2/3 Tipp nicht darauf gekommen mal an den Switch/die Verkabelung zu denken.
In diesem Falle euch ein schönes und erholsames Wochenende wenn es dann soweit ist.Gruß
schnaepper 8) -
Ohje ;) Du hast tatsächlich wie ich vermutet und befürchtet habe 10 verschiedene IPs als CARP einzeln alle auf dem WAN konfiguriert :) Daher habe ich nachgefragt.
Mach es dir einfacher: lege EINE IP, die du brauchst auf dem WAN als CARP an, die anderen aus dem /28 einfach alle als Typ "IP ALIAS" aber nicht auf WAN, sondern hier explizit dann die CARP IP eintragen. Damit werden die anderen Adressen alle als Aliase zu dieser einen CARP Adresse eingetragen und beim Schwenk dann auch synchonisiert UND du sparst dir den CARP Overhead * 10 für die ganzen MACs und die VHIDs. Damit hast du weniger Chance, dass es mal zu einem virtual MAC Konflikt kommt.Gruß
-
Hallo zusammen,
vielen Dank für eure Hilfe fehler lag wirklich in der Verkabelung. Hatte eine der beiden auf einen Port in einem anderen VLAN. Es funktioniert nun alles einwandfrei. DAnke für den Tipp mit den IP Alias werde das die Tage mal angegehen. ;) ;)
Gruß
schnaepper
