High Availability Sync zerlegt die erste Firewall
-
Hi,
wir haben Probleme bei der Einrichtung eines High Availability Sync zwischen zwei physischen Firewalls mit der pfsense Version 2.4.2-RELEASE-p1. Beide Firewalls sind direkt via einem SYNC VLAN und einem Netzwerkkabel angebunden und können sich gegenseitig anpingen. Auch der Admin Nutzer teilt sich das gleiche Kennwort.Nach der Aktivierung des Syncs in der ersten Firewall, können wir live auf dem angeschlossenen Monitor mitverfolgen, das diese zig unleserliche Zeilen ausgibt und danach in einer Endlosschleife zu hängen scheint. Anschließend fällt die FW1 gänzlich aus. Selbst ein Neustart der FW1 bringt keine Lösung, da der Sync die gesamte pfsense Installation der FW1 zerlegt hat. Es ist eine vollständige Neuinstallation der Firewall notwendig.
Die FW2 läuft weiterhin ordnungsgemäß wie zuvor und hat keinerlei "Neue" Sync Daten erhalten. Wir haben das gleiche Problem mit ebenfalls zwei pfsense Instanzen mit gänzlich anderer Hardware Zusammenstellung. Alle FW1s sind seit einigen Jahren bereits in Betrieb und liefen seither ohne direkten SYNC.
Auf der FW1 sind folgende Einstellungen:
Der SYNC ließ sich in der virtuellen Umgebung problemlos einrichten und funktionierte wie angedacht. Habt ihr eine Idee, Lösung oder einen Vorschlag, wie ich den Sync "ohne" Absturz einrichten kann? Ist das ein bekanntes Problem?
Die letzte Idee die mir einfallen würde, ist es, die gesamte Firewall von Grund auf neu zu installieren und händisch neu zu konfigurieren - Ohne Backups, welche wir über den Gold Service erstellen lassen, zu verwenden.
-
Hallo,
der Sync macht ja nichts weiter als die Firewall-Konfig auf die andere FW zu übertragen. Was soll da an der ausführenden pfSense schief gehen?
Wenn du die 2. FW vom Netz nimmst und dann die 1. neu startest, arbeit sie auch nicht mehr?
Dein Sync-Interface ist ein VLAN und 192.168.1.2 ist die IP der 2. in dem Netz. Die Frage wirft sich auf, weil diese IP für ein Sync-Interface ungewöhnlich ist.
Auf der 2. FW ist der HA-Sync nicht aktiviert?
Was läuft sonst alles auf den Firewalls?
-
Sind da Limiter mit im Spiel, in dem Fall: https://redmine.pfsense.org/issues/4310
-
Vielen Dank für eure Rückmeldungen. Ich konnte die Ursache nun 1 zu 1 in meiner virtuellen Umgebung reproduzieren. Ursache für den kompletten Absturz der ersten Firewall nach Aktiverung des Syncs waren die Limiter.
Wenn man folgende Limiter anlegt und dann einbindet, stürzt die erste Firewall zu 100% ab:
1. Deaktiverung des aktuellen High Availabl. Sync
2. Limiter Anlegen
Firewall > Traffic Shaper > Limiters > New LimiterLimiter 1: Limiter_In, 500 MBit > Activate > Save
Limiter 2: Limiter_Out, 500 MBit > Activate > Save3 Einbindung der Limiter:
Firewall > Rules > LAN > Edit Rule "Default allow LAN to any"- Display Adavanced > In / Out pipe:
–> In: Limiter_In
--> Out: Limiter_Out
4. Anschließend die Reaktivierung des High Availabl. Sync = Kompletter Live Zusammenbruch der ersten Firewall.
Das ganze konnte ich nun mehrfach Rekonstruieren. Ich werde in Zukunft also alle Limiter komplett deaktivieren / löschen und dann den High Availabl. Sync erneut anstoßen. Ich update diesen Thread, wenn alles wie zu erwarten funktionieren sollte.
EDIT: Die pure Existenz der Limiter, auch wenn diese nicht aktiivert sind, jedoch in die Rules eingebunden wurden, führen zum gesamten Absturz der Firewall. Es müssen alle alle Limiter komplett aus dem System entfernt werden, damit ein Sync funktionsfähig wird.
- Display Adavanced > In / Out pipe:
-
du darfst den limiter nicht direkt verwenden, sondern musst eine zusätzliche queue erstellen und diese dann nehmen.
also limiter erstellen. dann unterhalb des limiters eine queue erstellen und diese dann verwenden. am besten den limiter umbenennen in "DO_NOT_USE"
dann crashed die fw auch nicht mehr
siehe anhang
-
Der Bug sollte übrigends in 2.4.3 gefixt sein, wiederhole deinen Test doch einmal damit.
-
hast recht, mit der 2.4.3 funktionieren die limiter im ha setup
-
Danke für eure Antworten. Mit der neusten Version gab es keinen erneuten Absturz. Ich werde mich nochmal melden, sobald ich es auf den produktiven Firewalls geprüft und umgesetzt habe.