CARP



  • Задумался о внедрении CARP. Сишком много стало зависеть от доступности Интернета, как из LAN, так и снаружи.
    Есть ли у кого -либо опыт реализации CARP?
    В официальном мануале:
    https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)
    Исходя из  картинки мануала (для удобства приведу ее и тут)

    Возникли вопросы:

    1.Правильно ли я понимаю, что на входе - на стороне WAN я могу поставить свитч, воткнуть туда Ethernet от провайдера и оба WAN-Ethernet от обоих нодов PfSense? Авторизация линка - PPPOE.
    2.Точно также  на выходе - на стороне LAN выделенный свитч, в который приходят LAN-Ethernet от обоих нодов PfSense и Ethernet офисной сети или все три Ethernet включаются в основной свитч LAN?

    В мануале указывается необходимость отдельных интерфейсов для pfSync. Возможно ли, жертвуя производительностью, обойтись без установки дополнительных адаптеров - виртуальные IP\CARP на LAN\и т.д?



  • Опыта нет, но
    @pigbrother:

    1.Правильно ли я понимаю, что на входе - на стороне WAN я могу поставить свитч, воткнуть туда Ethernet от провайдера и оба WAN-Ethernet от обоих нодов PfSense? Авторизация линка - PPPOE.

    Если провайдер не блокирует дубли PPPoE сессий, вполне даже да.

    @pigbrother:

    2.Точно также  на выходе - на стороне LAN выделенный свитч, в который приходят LAN-Ethernet от обоих нодов PfSense и Ethernet офисной сети или все три Ethernet включаются в основной свитч LAN?

    Не имеет значения как, лишь бы в одну сеть. Сервера по ману работают по принципу фейловер.

    @pigbrother:

    В мануале указывается необходимость отдельных интерфейсов для pfSync. Возможно ли, жертвуя производительностью, обойтись без установки дополнительных адаптеров - виртуальные IP\CARP на LAN\и т.д?

    Тут, разумеется, пробовать надо. Странно, что не указанны требования к каналу.
    Обычно под такой соус требуют > 1 Гбит/c  и латенси  < 5 мс

    P.S. https://xakep.ru/2014/10/06/carp-pfsync/



  • Обычно под такой соус требуют > 1 Гбит/c  и латенси  < 5 мс

    Да синхронизировать в реалтайме кроме states вроде как и нечего.



  • Я имел ввиду кластерные системы.

    Мне только не ясно зачем такой огород, если вводится точка отказа в виде "DSL роутера". Вот если б провайдер дал 2 IP адреса по VLAN или два PPPoE аккаунта…



  • У меня не DSL, а Ethernet. Падает раза 2-3 в год (плюю через плечо). И рассматриваю как точку отказа именно сам Pfsense.  Второго столь же качественного в это здание пока затянуть нет возможности.
    Организовать несколько IP\PPPOE от одного провайдера можно, но не вижу практического смысла, упадет провайдер - упадут и все дополнительные  IP\PPPOE



  • Мой вопрос только в отказоустойчивости самого верхнего, обозначенного как "DSL Router", узла.



  • В таком случае консенсус достигнут. :)



  • Похоже не зря на картинке DSL-модем. И не все так красиво с CARP, как этого бы хотелось.

    Вот что тут
    https://forum.pfsense.org/index.php?action=post;quote=621278;topic=111069.0;last_msg=629999
    пишет jimp:

    @jimp:

    PPPoE cannot be made to work with a proper CARP setup. The PPP layer would have to be handled at the modem, exposing a routed subnet to the WAN side of pfSense with sufficient IP addresses for CARP to function. pfSense itself cannot have PPPoE WAN interfaces if you want a proper, fully functional, HA configuration.

    Задал ему там же вопрос про PPPOE over Ethernet. Пока ответа нет.



  • На сколько я понимаю, jimp пишет, что PPPoe не поддерживается CARP в полной мере.
    Соответственно, вопрос, нужна ли эта мера полная?

    По своему опыту, я бы смотрел в первую очередь в сторону виртуализации, с автоматической миграцией.



  • Логично.
    Но я один из сторонников мнения держать граничный роутер на физической машине.
    Недавно описывал тут ситуацию, когда меня это выручило.