DHCP und Ausfallsicherheit

kira12

Hallo Leute,

mein pfsense erledigt im LAN auch die DHCP Anfragen. Gibts eine Möglichkeit eine Backuplösung für die DHCP Anfragen zu bauen, also wenn der pfsense mal runtergefahren ist die DHCP Anfragen trotzdem beantwortet werden? Mit CARP wird ja die ganze pfsense gespiegelt.

Gruß ré

JeGr

Naja "nur" wegen DHCP dann was zu bauen halte ich für Quark. Wenn du "einfach so" häufiger mal die pfSense runterfährst würde ich mich eher fragen, welchen Grund es dafür gibt, dass du einfach dem LAN mal kurz sein Gateway abdrehst.

Zudem ist die CARP Geschichte nicht ganz korrekt. Das taucht aber immer wieder auf. CARP per se hat erstmal nichts mit HA zu tun. CARP läuft auf entsprechend konfigurierten IP Adressen (den CARP VIPs) und erstellt ein pseudo-device mit eigener MAC und IP. CARP Sync bzw. pfsync kümmert sich dann um die aktiven States, damit der Standby im Failover Fall auch übernehmen kann ohne alle Verbindungen zu droppen. Und als dritte Komponente kommt dann ein Konfigurations-Sync via XMLRPC dazu, der die Konfig von FWL01 auf FWL02 synct, allerdings NUR alles, was NICHT PHYsikalisch ist. VLAN Konfiguration? Nö. IP Konfig der Interfaces selbst? Nö. Nur Dinge, die auf logischen Sachen aufsetzen werden gesynct, also bspw. Gateway Einstellungen, Routen, Aliase, Regeln, NAT. Weil das alles auf den logischen Komponenten aufsetzt bzw. durch Platzhalter läuft. Alles physikalisch eindeutige der Kisten bleibt.

Und je nach Dienst oder Komponente gibt es Teile die mit HA gar nichts anfangen können (bspw. TFTP Server oder DHCP Relay Settings) und deshalb nicht synchronisiert werden. Oder Teile, die im HA dann per Failover laufen wie bspw. VPNs wenn richtig konfiguriert, Firewallregeln, die vom Master auf Standby gesynct werden etc. etc. Und es gibt Teile, die tatsächlich active-active laufen können, weil sie de-facto dafür gebaut wurden. Davon gibts tatsächlich extrem wenig und lustigerweise ist der DHCPd genau eins (wenn nicht gar der einzige) davon. Da kann beim Server nämlich der Failover Peer angegeben werden und dann laufen beide Firewalls als DHCP Cluster und vergeben IPs - beide! - und syncen die untereinander wer welche schon vergeben hat.

Davon abgesehen würde ich eher ne zweite Kiste als Fallback für Reboots, Updates(!), Tests und vor allem Verfügbarkeit hinstellen als nur wegen DHCP den Aufwand zu betreiben ;)

kira12

Hallo JeGr,

danke für deine gute Erklätung, es ging mir nicht nur um dem Reboot, auch um Ausfälle mit abzupuffern. Das mit DCHP Cluster ist ein guter Ansatz. Ich würde sehr gern die komplette pfsense als Cluster betreiben aber meine beiden ISP geben mir nur jeweils eine ip und damit wird das nix.

Gruß ré

JeGr

@kira12 said in DHCP und Ausfallsicherheit:

aber meine beiden ISP geben mir nur jeweils eine ip und damit wird das nix.

Was kein Showstopper sein MUSS. Es kann zwar einer sein, muss aber nicht zwangsläufig. Wenn es das Einzige Problem ist, dann kann man das lösen.

kira12

Hallo,

ich habe VDSL und eine Fritzbox die NAT macht, noch dazu ein Kabelmodem was kein NAT macht. Beide haben jeweils eine IP. Lässt sich das lösen mit CARP? Wobei die Fritzbox bald einem Modem weicht.

Gruß und dank ré