CARP. Выход из строя одного интерфейса на (мастер сервере).
-
Здравствуйте, уважаемые пользователи pfsense
Настроен обычный CARP из 2-х pfsense по 3-и сети на каждом (wan lan0 Lan1).
При выходе из строя одного из шлюзов (взрыв, столкнули со стола , залили водой и пр. те полная потеря питания), все работает нормально (подхватывается backup шлюз), но такое (подобного рода сбои) происходит редко. Много чаще что-нибудь случается с соединением шлюза (например wan коммутатор master шлюза перестал работать).
В током случае ТОЛЬКО отпавший интерфейс подхватывается backup-ом (wan в нашем примере). и маршрутизация всего трафика встает.Как на рисунке: wan подхвачен backup-ом но весь трафик адресованный wan продолжает поступать на master т.к. с lan все в порядке. В итоге "интернету нету".
Вопрос: как заставить трафик идти на backup шлюз при потере соединения на ЛЮБОМ интерфейсе master-а ?
Заранее благодарен.
-
Все оказалось просто...
Достаточно все интерфейсы master-шлюза посадить в в одну VHID группу (wan lan0 lan1 в группу 1, изменения реплецируется на backup и "вуаля").
тема закрыта. -
. . . . . . . .
Вернулся к процессу и все оказалось еще проще:
никакие итерфейсы никуда перемещать не нужно. Все работает из коробки (по мануалу на офсайте https://docs.netgate.com/pfsense/en/latest/highavailability/configuring-high-availability.html ) с одним условием:
fpsense-у ПОЧЕМУ-ТО очень важен порядок интерфейсов, т.е. если у вас на мастере они (интерфейсы)
а на backup-е
то он (pfsense) вместо синхронизации правил fw sync - sync синхронизирует sync - vpn со всеми вытекающими ... -
Добрый
Оч. странная ситуация (
Или это баг (на багтрекере нет такой задачи) . Или неверно сконфигурировано.
Как я понимаю, пф-у должно быть абсолютно "фиолетово" на имя интерфейса - главное,чтобы они находились в одной уникальной группе ? -
Последовательность интерфейсов при первичном конфигурировании нод carp кластера важна (а также при последующем удалении и заведении новых интерфейсов) - при синхронизации конфига с мастера на бекап, пфсенс смотрит на имена интерфейсов как они представлены в /cf/conf/config.xml - а представлены они там как правило - <имя драйвера интерфейса (igb, em, ix etc ) + порядковый номер (0,1,2....) .
Для корректной синхронизации необходимо, чтобы системные имена интерфейсов совпадали, иначе конфиг может применяться не слейв не туда, куда надо.