CARP-DHCP Rogue DHCP?

bitboy0

Ich habe seit ewig einen CARP-Cluster auf zwei APU-Boards laufen (keine VM)

Eigentlich klappt ja alles gut, aber auch in der jeweils inaktiven Sense tauchen bei den LEASES Einträge auf und die sind nicht identisch zu denen in der aktiven Maschine. Das sollte so nicht sein.

Ich soll sicher stellen, dass die der ADSKEW-Wert auf dem Master <20 ist und auf dem Slave >20 ... aber wo stelle ich das ein?

Wenn es das nicht wäre, wo könnte ich sonst noch schauen?

viragomann

@bitboy0
In den CARP Einstellungen in Firewall > Virtual IPs (Advertising frequency)
Allerdings stellt die pfSense hier standardmäßig eine Differenz von 100 zugunsten des Masters ein.

Hast du in den DHCP-Settings den "Failover peer IP" gesetzt?

bitboy0

@viragomann für die vIP kann ich EINEN Wert eintragen ... der steht auf 10.

Leave blank to disable. Enter the interface IP address of the other machine. Machines must be using CARP. Interface's advskew determines whether the DHCPd process is Primary or Secondary. Ensure one machine's advskew < 20 (and the other is > 20).

Aber ich verstehe das so, dass ich für die beiden echten IF je einen adskew-Wert eintragen soll?
Und ja, ich habe ich BEIDEN Sensen die jeweils andere als Failover eingetragen hier.

@JeGr hatte Mal eine Zeit auf den Kisten die Config durchgesehen und Fehler beseitigt ... also gegen Bezahlung und so. Seit dem habe ich sicher nichts da geändert.

viragomann

@bitboy0
@bitboy0

Kannst du ja überprüfen:

Das ist ein Backup System. Den Wert 100 setzt pfSense automatisch, während am Master 0 gesetzt wird.
Ich hatte noch keinen Anlass gefunden, daran etwas zu ändern.

DHCP betreibe ich aber nicht auf CARP. Daher kann ich zu den Releases am Backup nichts sagen. Wenn alles funktioniert, könnten die aber vermutlich nur vergeben worden sein, während er Master war, und ich denke, und anhand der advskew entscheided der lokale DHCP ob er Leases vergibt.

bitboy0

@viragomann Also der master ist auf 10 und der slave auf 110

Das sollte passen. Aber irgendwas stimmt nicht ganz.
Lease ist 600/1200 Sekunden eingestellt und dann sollte nach maximal 1200 sekunden auf dem slave gar nichts mehr stehen ... aber das tut es.

Und der RogueChecker findet immer zwei DHCP unter der Adresse der CARP-member aber keinen über die vIP ...

JeGr

@bitboy0 said in CARP-DHCP Rogue DHCP?:

@viragomann Also der master ist auf 10 und der slave auf 110

Nein der Master ist norml. auf 0 und sollte das auch sein. Und DHCP Clustering geht nur wenn ein System mit <20 da ist, daher ist manuelles rumbasteln an den Skew werten doof.

Und der RogueChecker findet immer zwei DHCP unter der Adresse der CARP-member aber keinen über die vIP ...

Weil die DHCP NICHT über die VIP machen, sondern ALS CLUSTER. Macht ja sonst auch keinen Sinn, dass beide aktiv sind wenn beide eine IP nutzen müssen, oder? Im Cluster konfiguriert sind beide aktiv. Da ist nichts Rogue dabei, die sind da schon richtig. Wenn die im DHCP Status ordentlich angezeigt werden als "normal / normal" muss man da nichts einstellen.

bitboy0

@JeGr
Hey du. Ich hab den Wert nicht geändert. Jedenfalls nicht in den letzten drei Jahren ;) Und was davor ist weiß ich in meinem hohen Alter nicht mehr. Also ich habe den jetzt wieder auf 0 gestellt und dann hat der Slave sofort automatisch 100 da stehen.
Allerdings war die Bedingung "<20" ja auch mit 10/110 erfüllt. Sollte also daran nicht gelegen haben, oder?

beim DHSP-Lease-Status steht oben drüber jeweils "normal" als Status.
Also demnach ist das eine Fehlinterpretation von diesem Tool, weil das nicht den CARP-Cluster erkennt?

Grund der Frage:

Wir haben das Problem, dass ein UCS-Fileserver über FQDN angesprochen mit "Passwort falsch" reagiert (windows freigaben)
Aber der Name des Servers wird ansonsten immer richtig aufgelöst. Über SSH, Weboberfläche, Ping, Telnet .... was auch immer geht es immer.

Und die Fehler lautet ja auch nicht "Server nicht gefunden", sondern "Passwort falsch"

PFSense macht DHCP für IPv4 und RA/SCLAAC für IPv6. Die Server sind aber eh statisch konfiguriert (außerhalb des DHCP-Bereichs.) Und per DHCP liefert die Sense ihre eigene Adresse als DNS aus... damit der Forwarder sein Werk tun kann.
In der Sense ist nur der DNS-Forwarder aktiviert, der Anfragen für die Lokale Domain an UCS weiterleitet und alles sonst an den DNS des Providers, der die Namen unserer Server natürlich nicht kennen kann.

Aber der Support von UCS beharrt darauf, dass es irgendwie an unserem DNS liegen muss. Dabei kann ich leicht sehen, dass alles Anfragen den Server erreichen. Nur über FQDN seltsamerweise eben mit dem Fehler "Passwort falsch" ... sobald ich den Server vom Netz nehmen kommt erwartungsgemäß "TimeOut / Server nicht gefunden" ... also liegt es weder am DHCP noch am DNS ... aber was weiß denn ich ... der von UCS meint es wäre nicht der UCS Server schuld.

viragomann

@bitboy0
Ist die Domäne / Arbeitsgruppe auf Server und Rechner identisch? Am Server muss auch der eigene Hostname mit dem im DNS zusammenpassen.

bitboy0

@viragomann Die Rechner sind an der UCS-Domäne angemeldet.
UCS stellt eine "Windows"-Domäne bereit.
Ein betroffener Rechner ist von jedem anderen Rechner und auch von der Shell des Servers aus im lokalen Netz über rechnername.localdomain.tld auf IPv4 und IPv6 erreichbar.

Freigaben auf einem zweiten UCS-Server in der gleichen Domäne sind immer zugänglich. Da tritt das Problem mit dem falschen Passwort nicht auf.

Also IMHO kann es kein Problem mit dem DHCP oder DNS-Forwarder sein, oder?
Ich würde eher sagen, es kann nicht an der PFSense liegen und ist eher ein Problem des einen Servers, auch wenn ich nicht verstehe was da passiert.

JeGr

@bitboy0 said in CARP-DHCP Rogue DHCP?:

Also demnach ist das eine Fehlinterpretation von diesem Tool, weil das nicht den CARP-Cluster erkennt?

Ich kenne ja das Tool nicht. Kann ja sein, dass das allein schon bei 2 DHCP Servern rummeckert. Wenn dem so ist, kann man Clustering auch abschalten indem man beim DHCP einfach keinen "peer" eingibt. Dann läuft es auch nur auf einem Node.

Also IMHO kann es kein Problem mit dem DHCP oder DNS-Forwarder sein, oder?

Würde ich nach der aktuellen Faktenlage auch vertreten, ja. Wenn die Adressen vom Client entsprechend geprüft sauber aufgelöst werden (am Client dann eben mit nslookup und co nachsehen), gibts keinen Grund, warum das an der Sense liegen soll wenn sie die DNS Requests sauber weitergibt.

Ansonsten könnte man natürlich zum Test einfach den UCS als DNS ausliefern und auf dem dann die Sense als Forward eintragen. Ähnliches Resultat aber die UCS Typen können sich dann nicht mehr rausreden, wenn das Problem noch bestehen sollte.

Cheers
\jens