High Availibility Failover unterbricht SSH Verbindung



  • Moin miteinander,

    ich habe hier zwei Netgate SG-4860 mit der Version "2.4.3-RELEASE-p1" und ein HA Cluster aufgesetzt.
    Mein Setup ist wie folgt:
    WAN Interface:
    x.y.z.251 (Backup Firewall)
    x.y.z.252 (Primary Firewall)
    x.y.z.253 (CARP VIP)

    LAN
    habe ich nichts konfiguriert, da ich 3 verschiedene VLANs zum LAN Interfaces hinzugefügt habe

    VLAN 100

    a.b.c.252 (BackUp)
    a.b.c.253 (Primary)
    a.b.c.254 (CARP VIP)

    VLAN 200

    b.c.d.252 (BackUp)
    b.c.d.253 (Primary)
    b.c.d.254 (CARP VIP)

    VLAN 300

    c.d.e.252 (BackUp)
    c.d.e.253 (Primary)
    c.d.e.254 (CARP VIP)

    HA Interface

    d.e.f.2 (Backup)
    d.e.f.1 (Primary

    Auf der Primary habe ich pfsync und XMLRPC Sync aktiviert. User und die IP von der Backup Firewall sind eingetragen. DHCP Failover IP habe ich überall eingetragen und es wird auch alles synchronisiert.
    EDIT: Auf der Backup Firewall ist pfsync auch aktiviert und die IP von der Primary ist eingetragen.
    NAT Outbound habe ich die WAN VIP eingetragen für die VLAN Interfaces.
    Unter Status->CARP seh ich auch, dass die Primäre als Master und die Backup als Backup angezeigt werden.
    Nun gehe ich in den CARP Wartungsmodus auf der primären Firewall und Status ändert sich auch richtig, aber meine SSH Verbindung wird unterbrochen und auch die Konsole auf einer TestVM (vSphere 6.0) hängt sich auf. Wenn ich die TestVM von meinem Laptop aus pinge kommt es zu einer Verzögerung und bleibt auch hängen bis ich den ping neustartet.
    Meine Vermutung ist, dass die States nicht richtig ausgetauscht werden.
    Primäre Firewall:

    VLAN200 tcp b.c.d.252:64542 -> b.c.d.253:519 ESTABLISHED:ESTABLISHED 105.639 K / 105.636 K 5.85 MiB / 5.84 MiB

    VLAN200 tcp x.x.x.5:4097 (meine IP)-> b.c.d.1:22 (IP von TestVM) ESTABLISHED:ESTABLISHED 0 / 0 0 B / 0 B

    VLAN200 tcp b.c.d.252:64542 -> b.c.d.253:519 ESTABLISHED:ESTABLISHED 0 / 0 0 B / 0 B

    Backup Firewall:

    ist identisch, nur die Packete und Byte Anzahl ist anders.

    Ich weiß hier leider auch nicht mehr weiter, kann mir jemand weiterhelfen?

    UPDATE: ich habe weitere Tests gemacht und sehe, dass die kompletten Verbindungen unterbrochen werden d.h. Download einer File, SSH Verbindung, Ping kommt auch nicht durch während des Failovers, nur wenn man ihn neustartet.



  • Hallo,

    also dass man beim Failover Packetloss hat, ist normal. Beim Ping gehen bei mir 2-3 Pakete während des Wechsels auf die Backup Sense verloren. Sobald der Vorgang jedoch abgeschlossen ist, läuft Ping positiv weiter. Ich tippe mal, dass der Wechsel bei dir einfach zu lange dauert, weshalb dann die SSH Verbindung denkt, der Host wäre down. Da du vSphere verwendest, gehe ich davon aus, dass du die vSwitches entsprechend dieser Anleitung konfiguriert hast.



  • @bahsig said in High Availibility Failover unterbricht SSH Verbindung:

    Hallo,

    also dass man beim Failover Packetloss hat, ist normal. Beim Ping gehen bei mir 2-3 Pakete während des Wechsels auf die Backup Sense verloren. Sobald der Vorgang jedoch abgeschlossen ist, läuft Ping positiv weiter. Ich tippe mal, dass der Wechsel bei dir einfach zu lange dauert, weshalb dann die SSH Verbindung denkt, der Host wäre down. Da du vSphere verwendest, gehe ich davon aus, dass du die vSwitches entsprechend dieser Anleitung konfiguriert hast.

    Hi bahsig,

    erstmal vielen Dank für deine Antwort.
    Für die pfSense habe ich hier 2 Netgate Boxen, aber die Hosts laufen auf eine virtuellen Umgebung.
    Nach der Anleitung habe ich es mal versucht, jedoch hat es nicht wirklich viel geholfen.
    Ich verliere trotzdem die SSH Verbindung bzw. komplette Internetverbindung auf den Hosts (sowohl virtuelle als auch physische).


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy