CARP. Выход из строя одного интерфейса на (мастер сервере).



  • Здравствуйте, уважаемые пользователи pfsense

    Настроен обычный CARP из 2-х pfsense по 3-и сети на каждом (wan lan0 Lan1).
    При выходе из строя одного из шлюзов (взрыв, столкнули со стола , залили водой и пр. те полная потеря питания), все работает нормально (подхватывается backup шлюз), но такое (подобного рода сбои) происходит редко. Много чаще что-нибудь случается с соединением шлюза (например wan коммутатор master шлюза перестал работать).
    В током случае ТОЛЬКО отпавший интерфейс подхватывается backup-ом (wan в нашем примере). и маршрутизация всего трафика встает.

    ebed5389-c06a-447f-8c2e-aa3a2ccc3557-image.png

    Как на рисунке: wan подхвачен backup-ом но весь трафик адресованный wan продолжает поступать на master т.к. с lan все в порядке. В итоге "интернету нету".

    Вопрос: как заставить трафик идти на backup шлюз при потере соединения на ЛЮБОМ интерфейсе master-а ?

    Заранее благодарен.



  • Все оказалось просто...
    Достаточно все интерфейсы master-шлюза посадить в в одну VHID группу (wan lan0 lan1 в группу 1, изменения реплецируется на backup и "вуаля").
    тема закрыта.



  • . . . . . . . .
    Вернулся к процессу и все оказалось еще проще:
    никакие итерфейсы никуда перемещать не нужно. Все работает из коробки (по мануалу на офсайте https://docs.netgate.com/pfsense/en/latest/highavailability/configuring-high-availability.html ) с одним условием:
    fpsense-у ПОЧЕМУ-ТО очень важен порядок интерфейсов, т.е. если у вас на мастере они (интерфейсы)
    e32866fd-3014-4001-9b4a-a90d76413834-image.png
    а на backup-е
    8dfe6577-d04e-43ec-9634-32525d172af1-image.png
    то он (pfsense) вместо синхронизации правил fw sync - sync синхронизирует sync - vpn со всеми вытекающими ...



  • Добрый

    Оч. странная ситуация (
    Или это баг (на багтрекере нет такой задачи) . Или неверно сконфигурировано.
    Как я понимаю, пф-у должно быть абсолютно "фиолетово" на имя интерфейса - главное,чтобы они находились в одной уникальной группе ?



  • Последовательность интерфейсов при первичном конфигурировании нод carp кластера важна (а также при последующем удалении и заведении новых интерфейсов) - при синхронизации конфига с мастера на бекап, пфсенс смотрит на имена интерфейсов как они представлены в /cf/conf/config.xml - а представлены они там как правило - <имя драйвера интерфейса (igb, em, ix etc ) + порядковый номер (0,1,2....) .
    Для корректной синхронизации необходимо, чтобы системные имена интерфейсов совпадали, иначе конфиг может применяться не слейв не туда, куда надо.


Log in to reply