Не могу настроить Virtual IP
-
Уважаемые гуру pfSense, помогите новичку.
Вопрос следующий: Нужно два роутера pfSense соединить в HA. Делаю вот по этой инструкции https://www.howtoforge.com/how-to-configure-a-pfsense-2.0-cluster-using-carp. Но проблема в том, что от провайдера у меня только 1 адрес: 10.20.30.54/24.
Если настраиваю данный мне адрес на WAN первого файервола, то все работает.
Если настраиваю этот же адрес на WAN второго - все сразу же падет (что логично, два одинаковых адреса в одной сети)
Прописываю на первом WAN 10.20.30.1/24, на втором 10.20.30.2/24, создаю HA и виртуальный IP (CARP на WAN) 10.20.30.54/24 и всё равно - тишина.
Судя по всему я что-то недопонимаю в настройках VirtalIP и CARP. Подскажите что я делаю не так. -
Доброе.
У вас 3 физ. сетевых ? Также необходимо 2 внешних адреса. -
Да, три физических интерфейса - LAN, WAN и SYNC. Но два адреса от провайдера я получить не могу. Если следовать этой логике - нужно не два, а три адреса - для WAN1, для WAN2 и для VirtalWAN.
Кстати, если на LAN создать также виртуальный IP, то по нему я также не могу получить доступ.
Т.е. на LAN1 - 192.168.20.101/24, на LAN2 - 192.168.20.102/24 и на VirtualLAN - 192.168.20.100/24. По LAN1 - подключаюсь к Web-интрефейсу первого сервера. по LAN2 - к интерфейсу второго, а по VirtualLAN - никуда не подключаюсь. И если указать в качестве шлюза по умолчанию LAN1 (когда настроен и работает WAN1) - интернет доступен. А если указать VirtualLAN (включен только первый сервер)- интернета нет. -
Но два адреса от провайдера я получить не могу.
В инструкции на wan интерфейсах разные ip. Установить роутер и с него получать два адреса для wan интерфейсов.
-
Если установить роутер и с него два IP, то роутер становиться опять единой точкой отказа, смысл городить огород из HA? Задача как раз и стоит в том, чтобы доступ к интернету был зарезервирован.
-
Роутер mikrotik + рядом такой же в качестве ЗИП, на случай большого ЧП.
-
если мне не могут купить еще один адрес у провайдера, то какова вероятность что мне купят ДВА микротика? И если бы мне нужен был микротик, то наверно я бы писал на форум микротика, а не pfSense.
Смысл CARP как раз в том, чтобы использовать один IP на двух маршрутизаторах, настроенных в режиме HA, чтобы при отказе одного из маршрутизаторов никто не заметил, как его заменил другой. Ведь так? Или я что-то неправильно понимаю? -
Смысл CARP в том чтобы никто из рядовых пользователей не заметил факта падения одной из нод. Технология позволяет передать все открытые соединения на другую ноду, в случае падения первой. Есть издержки технологии, например, 3 свободных адреса, разрешение спуфинга со стороны роутера/провайдера и дополнительный выделенный сетевой интерфейс для синхронизации, ну и конечно, дополнительный компьютер.
Единственное, чего я не понимаю, для чего вообще назначать реальные адреса на wan/lan интерфейсах или почему нельзя задавать их в альтернативной подсети, скажем в 172.31.0.0/24.
-
Единственное, чего я не понимаю, для чего вообще назначать реальные адреса на wan/lan интерфейсах или почему нельзя задавать их в альтернативной подсети, скажем в 172.31.0.0/24.
Вот меня это тоже интересует. Где-то я видел, что физические и виртуальный интерфейсы делают в приватной сети, а затем к виртуальному интерфейсу приписывают алиас с рабочим адресом. Но никак не могу найти что за технология и как она настраивается.
И если CARP мне не может помочь создать НА-ферму роутеров с одним внешним IP, то может кто-нибудь подскажет в какую сторону копать? Железные решения не предлагать. -
Тоже интересовала тема HA\CARP. Провайдер - предоставляет доступ через PPPOE, единственный белый IP.
Однако с PPPOE, поднимаемом на самом pfsense (на ноде CARP) это, похоже, невозможно:https://forum.pfsense.org/index.php?topic=111069.msg621278#msg621278
PPPoE cannot be made to work with a proper CARP setup. The PPP layer would have to be handled at the modem, exposing a routed subnet to the WAN side of pfSense with sufficient IP addresses for CARP to function. pfSense itself cannot have PPPoE WAN interfaces if you want a proper, fully functional, HA configuration.
-
Доброе.
2 pf + 1 железн. роутер ?
http://www.serdarbayram.net/pfsense-carp-installation-and-configuration.html -
Доброе.
2 pf + 1 железн. роутер ?
http://www.serdarbayram.net/pfsense-carp-installation-and-configuration.htmlЭто очевидное решение, повторяющее как официальный документ, так и другие мануалы, недостатка в котрых нет,
но хочется иметь белый IP на WAN-интерфейсах. Мог бы помочь NAT1:1, но можно ли иметь 2 NAT1:1 для каждой ноды?
Ну и сам железный роутер выпадает из HA - умер\засбоил и весь CARP теряет смысл. -
Тогда фсьо. Или 2 разных белых ip на WAN пф-ов или схема с железн. роутером. ХитропОпасть наша тут не пройдет.
P.s. Кхм, попробовать поднять тот же proxmox, вкл. на нем NAT, на один из интерфейсов proxmox повесить единственный белый IP. После развернуть две ВМ с пф и похимичить ?
Но получается сплошная точка отказа :'( -
Если честно - не понимаю, почему не должна работать такая схема:
Ethernet от провайдера воткнут в тупой свитч. В этот же свитч подключены WANы нод CARPa. Упала первая нода - PPPOE поднимает вторая. -
А на WAN-ах адреса - разные ?
-
Ну почему разные?
Почему pf не может держать wan-интерфесы slave-сервера в дауне, покуда он не станет master?
Такое поведение интерфейсов я воплотил PowerShell-скриптом на виндовом маршрутизаторе, просто сессии рвутся, а CARP по идеи должен прозрачно перекинуть пользователей без потери сессий (ну за исключением IPSec, да и это можно настроить), чем и интересен. -
А вот на мой вопрос, что Virtual LAN на интерфейсах внутренней сети не работает, никто никаких мыслей не скажет?
-
А на WAN-ах адреса - разные ?
Нет. Один провайдер, один IP, один pfSense ;)
Из официального мануала:
One real IP address is required for every CARP cluster node. To have 2 cluster nodes, 2 IP addresses are needed for the real interfaces and then an additional IP for each CARP type virtual IP address. In this case it would amount to 3Под real IP подразумевается белый IP?
-
In this case it would amount to 3
Под real IP подразумевается белый IP?
А мне вот еще интересно: подключу я WAN1 и WAN2 к провайдернезависмой AS, virtalWAN я туда подключить не смогу, так как в настройках BGPD нет возможности выбрать виртуальный WAN, только реальный, и мне ответы шуровать будут по обоим адресам, ведь оба адреса будут активны. Придется настраивать разные приоритеты на разных серверах. Как-то это неправильно…...
