Problema CARP con interfaz VLAN



  • Buenos días a todos, un placer saludarlos.
    Quisiera consultarles al respecto, de una configuración que me encuentro realizando, y por algún motivo que no conozco, no me funciona, les explico el escenario.
    Tengo 2 servidores PfSense 2.4.4 p3, actuando como HA, todas las configuraciones funcionan, cuando uno u otro se encuentran apagados, pero resulta ser, que por motivos de un proyecto nuevo en la empresa, he tenido que segmentar la red en varias subredes, con diferentes enrutamientos, etc, y la necesidad de crear VLAN en los PfSense, para llegar a estas diferentes subredes, aquí es donde aparece ese "motivo" por el cual el CARP no me funciona, al añadir una VIP tipo CARP, donde su interfaz es una de las interfaces VLAN del servidor, se añaden perfectamente, pero, por ejemplo, al decirle al DHCP que su gateway será esta VIP, los clientes no son capaces de obtener una IP. Sin embago, si añado esta VIP tipo Alias, funciona perfectamente, solo que no se replica la configuración de esta VIP añadida al PfSense que actúa como esclavo de HA.
    Saludos a todos, que tengan un buen día.



  • @eragon tu interfaz que sincroniza (pfsync) es una red dedicada, es decir un cable punto a punto entre tus 2 pfsense?



  • @j-sejo1 Hola amigo, no, no están conectado PtP, usan la interfaz de la subred DMZ para ello, ambos PfSense sincronizan perfectamente todo, alias, gateway, reglas del fw, etc, excepto, que cuando uso una VIP tipo CARP apuntando a una de las interfaces VLAN creadas, no se sincroniza, ni tampoco es accesible esta IP en los servicios que usan esta VIP, como por ejemplo el caso del DHCP.
    En ambos servidores, tengo 6 VLAN, 3 (ejemplo: 2101,2102,2103) son para 3 VPN a las cuales necesito acceder, y las otras para 3 subredes internas las cuales gestiono, aplico enrutamiento, brindo servicios, etc.
    Aquí es donde entra la necesidad de tener una VIP tipo CARP para una de las subredes que gestiono, donde tendré un DHCP, y necesito que la IP aaa.bb.c.1 de ese segmento, sea el gw de esa subred, el cual debe ser accesible, por uno u otro servidor PfSense (aaa.bb.c.2 y aaa.bb.c.3 respectivamente sus IP en el mismo segmento) según la disponibilidad de HA.

    Gracias, mis saludos.



  • Hola, las VLANS debes tenerlas creadas en ambos firewalls y deben coincidir los identificadores o los nombres de esas VLANs cuando las asignas en Interfaces -> assigments.

    Por ejemplo:
    En tu fw1 agregas la vlan 2101 y se le pondra el nombre OPT1
    para la 2102 se le asignara el nombre OPT2 y asi sucesivamente.
    Aunque tu renombres estas interfaces por otro nombre, por debajo de todo seguiran siendo OPT1 y OPT2,
    Estos deben coincidir en tu segundo firewall, osea, en tu fw2 agregas la vlan 2101 y asegurate de que se le asigne el nombre OPT1, agregas la 2102 y asegurate que sea con OPT2, etc

    Revisa que los puertos de tu switch a donde van tus clientes se encuentren en la vlan correspondiente para obtener la ip del DHCP.

    Que interfaz estas utilizando para tus VLANS que dan problemas? Imagino que debes estar usando tu interfaz LAN...
    Debes asegurarte de que el puerto LAN de tu pfsense al switch tengas las VLANS.
    En los switchs netgear se agregan con los comandos:

    vlan participation include 2101,2102
    vlan tagging 2101,2102

    Agrega tu VIP como tipo carp y adjunta una imagen del estatus de CARP de tus dos firewalls

    Saludos



  • @jbarriga Hola amigo, resulta que todas las configuraciones las tengo así como planteas, excepto que las VLAN están asociadas a la interfaz física WAN.
    Con respecto a esta situación, les comento que en el 2do Pfsense, 2 de las 3 puertas de enlaces (gw) de las 3 VPN estaban inaccesibles, el proveedor de servicio por alguna razón no me tenía asignado el /29 que solicité, y en cambio enrutó 2 VPN, contra un segmento /30, por lo cual en el 1er Pfsense, si levantaban las 3 VPN, y en el 2do solo 1, al arreglar este problema con el proveedor, y teniendo acceso ambos Pfsense a sus 3 VPN (3 VLAN) externas, ahora cambiando la VIP tipo Alias a CARP, que tenia asociada a una de las VLAN, si sincroniza todo perfectamente, anteriormente estas VIP tipo CARP asociadas a las VLAN, no las sincronizaba. Pero cuando el DHCP utiliza esta VIP tipo CARP, como puerta de enlace para los clientes, los mismo no son capaces de alcanzar ningún servicio más alla de la LAN, sin embargo cuando la cambio a tipo Alias, sin problema todo funciona. Alguna idea. Saludos a todos y gracias.


Log in to reply