Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DHCP und Ausfallsicherheit

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 2 Posters 612 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kira12
      last edited by

      Hallo Leute,

      mein pfsense erledigt im LAN auch die DHCP Anfragen. Gibts eine Möglichkeit eine Backuplösung für die DHCP Anfragen zu bauen, also wenn der pfsense mal runtergefahren ist die DHCP Anfragen trotzdem beantwortet werden? Mit CARP wird ja die ganze pfsense gespiegelt.

      Gruß ré

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Naja "nur" wegen DHCP dann was zu bauen halte ich für Quark. Wenn du "einfach so" häufiger mal die pfSense runterfährst würde ich mich eher fragen, welchen Grund es dafür gibt, dass du einfach dem LAN mal kurz sein Gateway abdrehst.

        Zudem ist die CARP Geschichte nicht ganz korrekt. Das taucht aber immer wieder auf. CARP per se hat erstmal nichts mit HA zu tun. CARP läuft auf entsprechend konfigurierten IP Adressen (den CARP VIPs) und erstellt ein pseudo-device mit eigener MAC und IP. CARP Sync bzw. pfsync kümmert sich dann um die aktiven States, damit der Standby im Failover Fall auch übernehmen kann ohne alle Verbindungen zu droppen. Und als dritte Komponente kommt dann ein Konfigurations-Sync via XMLRPC dazu, der die Konfig von FWL01 auf FWL02 synct, allerdings NUR alles, was NICHT PHYsikalisch ist. VLAN Konfiguration? Nö. IP Konfig der Interfaces selbst? Nö. Nur Dinge, die auf logischen Sachen aufsetzen werden gesynct, also bspw. Gateway Einstellungen, Routen, Aliase, Regeln, NAT. Weil das alles auf den logischen Komponenten aufsetzt bzw. durch Platzhalter läuft. Alles physikalisch eindeutige der Kisten bleibt.

        Und je nach Dienst oder Komponente gibt es Teile die mit HA gar nichts anfangen können (bspw. TFTP Server oder DHCP Relay Settings) und deshalb nicht synchronisiert werden. Oder Teile, die im HA dann per Failover laufen wie bspw. VPNs wenn richtig konfiguriert, Firewallregeln, die vom Master auf Standby gesynct werden etc. etc. Und es gibt Teile, die tatsächlich active-active laufen können, weil sie de-facto dafür gebaut wurden. Davon gibts tatsächlich extrem wenig und lustigerweise ist der DHCPd genau eins (wenn nicht gar der einzige) davon. Da kann beim Server nämlich der Failover Peer angegeben werden und dann laufen beide Firewalls als DHCP Cluster und vergeben IPs - beide! - und syncen die untereinander wer welche schon vergeben hat.

        Davon abgesehen würde ich eher ne zweite Kiste als Fallback für Reboots, Updates(!), Tests und vor allem Verfügbarkeit hinstellen als nur wegen DHCP den Aufwand zu betreiben ;)

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • K
          kira12
          last edited by

          Hallo JeGr,

          danke für deine gute Erklätung, es ging mir nicht nur um dem Reboot, auch um Ausfälle mit abzupuffern. Das mit DCHP Cluster ist ein guter Ansatz. Ich würde sehr gern die komplette pfsense als Cluster betreiben aber meine beiden ISP geben mir nur jeweils eine ip und damit wird das nix.

          Gruß ré

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            @kira12 said in DHCP und Ausfallsicherheit:

            aber meine beiden ISP geben mir nur jeweils eine ip und damit wird das nix.

            Was kein Showstopper sein MUSS. Es kann zwar einer sein, muss aber nicht zwangsläufig. Wenn es das Einzige Problem ist, dann kann man das lösen.

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 1
            • K
              kira12
              last edited by

              Hallo,

              ich habe VDSL und eine Fritzbox die NAT macht, noch dazu ein Kabelmodem was kein NAT macht. Beide haben jeweils eine IP. Lässt sich das lösen mit CARP? Wobei die Fritzbox bald einem Modem weicht.

              Gruß und dank ré

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.