CARP mit mehreren Externen IP's

sunics

Hallo zusammen,

ich will gern ein Failover mit zwei pfSense bei einem Kunden erstellen und bin auf diesem Gebiet noch ein wenig grün hinter den Ohren.
Der Kunde hat mehrere Externe IP Adressen (8). Diese sind mittels Virtueller IP eingerichtet
Basierend auf dieser Anleitung https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)
ist der Failover auf der LAN-Seite klar.

Meine Frage nun:
Brauchen die beiden pfSense im WAN Bereich eine fix zu gewiesene IP?
Müssen die bestehenden Virtuellen IPs in CARP umgewandelt werden?
Oder wie kann das realisiert werden?

Vielen Dank im Voraus für eure Bemühungen!

JeGr

Der Kunde hat mehrere Externe IP Adressen [8]. Diese sind mittels Virtueller IP eingerichtet

Hat der Kunde jetzt schon aktiv eine pfSense oder löst du da eine vorhandene andere Lösung ab?

Brauchen die beiden pfSense im WAN Bereich eine fix zu gewiesene IP?

Ja die Sensen müssen sich gegenseitig auf dem WAN Interface "sehen" können, brauchen daher eigene IPs im gleiche Subnetz. Im Besten Fall aus dem WAN Subnetz, als 2 der 8 Adressen.

Müssen die bestehenden Virtuellen IPs in CARP umgewandelt werden?

Inwiefern bestehen diese (siehe oben)? Jede IP, die Failovern soll muss

a) eine CARP IP sein oder
b) bei mehr als einer IP aus dem gleichen Subnetz können die weiteren IPs (2, 3, 4…) als Alias IPs auf der CARP IP angelegt werden. Das spart Probleme mit zusätzlichen CARP VHIDs und minimiert auch die Kommunikation weil nicht für jede einzelne IP der CARP Status geprüft und übermittelt werden muss.

Wenn du/ihr das ansonsten "professionell" bei Kunden einrichten wollt, solltet ihr euch da ggf. auch nochmal intern ein bisschen Brainpower ranholen und ggf. schulen lassen. Da gäbe es auch durchaus Firmen, die das auf deutsch tun und sich speziell für euch ein Programm o.ä. zusammenstellen ;) :D

sunics

Hallo JeGr

Danke für Deine Antworten.

Der Kunde hat bereits eine bestehende pfSense. Ich will nur eine zweite hinzufügen als failover.
Die fixen externen IPs sind bisher als Virtuelle IP (Typ: Alias IP) auf der pfSense eingerichtet.

Wenn ich nun ein Failover mache, muss ich die bestehende Virtuellen IPS von Typ "Alias IP" in typ "Carp" umwandeln?
oder können wenn ich das Richtig verstanden habe, kann ich die virtuellen IPs auf das CARP-Wan anstatt auf das WAN setzen?

Das wäre super. Hast Du Empfehlungen für Firmen?

JeGr

Der Kunde hat bereits eine bestehende pfSense. Ich will nur eine zweite hinzufügen als failover.

Das ist aber nicht ganz so trivial wie "ich hänge noch eine dazu und dann ist gut"! Da muss die Konfiguration und die Hardware auch ordentlich passen, sonst gibts da nur Probleme.

Die fixen externen IPs sind bisher als Virtuelle IP (Typ: Alias IP) auf der pfSense eingerichtet.

Verstanden.

Wenn ich nun ein Failover mache, muss ich die bestehende Virtuellen IPS von Typ "Alias IP" in typ "Carp" umwandeln?

Nein, es genügt eine davon zum Typ CARP umzuwandeln und bei den anderen Alias IPs als Interface nicht "WAN" auszuwählen, sondern die neu umkonfigurierte CARP VIP. Dann sind die anderen IPs Aliase des CARP Interfaces und ziehen mit diesem zusammen um wenn ein F/O notwendig ist.

Grüße