[résolu]Fail over sur VMWare ESXi 6.x



  • Bonjour,

    je me présente rapidement, je suis ingénieur système unix, et j'ai une petite infra chez moi pour m'occuper le week end :)

    Le contexte :

    utilisation domestique de deux firewall pfsense 2.4 (dernière mise à jour) virtualisés sur VMWARE esxi, et configurés en failover.

    La quincaillerie:

    2 serveurs esxi 6.5

    Chaque serveur esxi possède 2 cartes réseaux : 1 carte dédiée pour le WAN, et 1 carte pour les différents autres VLANs (taggés au niveau vswitch de l'esx)

    Deux vswitch sont configurés dans les deux esx , le vswitch0 pour les lans (VLANG Taggés 802.1q), et le vswitch1 pour le wan (non taggé)

    les deux vswitch sur chaque esx, ont les options spéciales comme indiqué dans : https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)

    Les esx sont interconnectés via un switch administrable (TP-Link TL-SG108E) portant les vlan par port ainsi qu'un trunk pour (entre autres) l'interconnexion avec le wan situé dans une autre pièce (même modèle de switch tp-link aux deux extrémités)

    **La config pfsense *** 1 pfsense sur chaque esx, chaque pfsense dispose de plusieurs interfaces, dont 1 pour le wan, et plusieurs pour les lans
    l'interface d'admin des pfenses est sur un des lans.

    • 1 interface virtuelle (CARP) pour chaque lan (pas besoin pour le wan, seuls les pfsenses ont accès à ce réseau)

    La synchro est activée, pour les tables d'état et la config, cette synchro fonctionne bien (interfaces en master sur un pfsense et en backup sur l'autre).

    Le problème

    Lorsque je coupe le firewall master, l'autre prend bien le relai, en ce sens que le statut CARP indique bien master sur le deuxième firewall,
    par contre au niveau ARP sur un poste client, l'adresse MAC ne se met pas à jour et pointe toujours sur le premier firewall.

    Donc dans la pratique, ça ne marche pas !

    Je ne suis pas spécialiste des protocoles réseau de bas niveau (genre ARP justement), et je ne vois pas trop ce que j'aurais pu oublier dans cette configuration.

    Si quelqu'un aurait une config équivalente ou idée de ce qui ne va pas cela m'aiderait bien, car je sèche depuis un moment sur ce problème.

    Merci d'avance.****



  • Rapidement à propos de arp, peut-être un paramètre du vswitch pour autoriser "l'usurpation" d'adresse mac.
    Je n'ai plus les noms des paramètres en tête. Voir propriétés - sécurité des Vswitchs.





  • Merci, je ne l'avais pas vu cette page sur le troubleshooting de CARP.



  • Hello,

    voici la solution qui va bien :

    Changing Net.ReversePathFwdCheckPromisc

    Login VMware vSphere Client

    For each VMWare host

    Click on host to configure and select Configuration Tab
        Click Software Advanced Settings in left pane
        Click on Net and scroll down to Net.ReversePathFwdCheckPromisc and set to 1

    Avec cette modif c'est une adresse mac virtuelle qui est propagée au lieu de l'adresse réelle.

    Merci encore.