Непонятная проблема с CARP


  • Задумался о внедрении отказоусточйчивости шлюзов.
    В данный момент собрал на стенде схему как на фото во вложении.
    Синхронизация работает. Виртуальный адрес поднялся на первом и на втором шлюзе (скрин).
    Но он никак не доступен по пингу ни со второго сервера ни с клиентской машины.
    В файерволе все разрешено полностью.
    Может я что то забыл еще сделать?
    Снимок экрана в 2020-08-13 11-37-36.png .
    1.png 2.png Снимок экрана в 2020-08-13 14-28-29.png


  • На чём поднято?
    Если на виртуалках, то нужно немного подкрутить, см. https://docs.netgate.com/pfsense/en/latest/book/highavailability/high-availability-troubleshooting.html#issues-inside-of-virtual-machines-esx


  • Да, сначала пробовал на esxi, потом на vbox.
    Спасибо, поизучаю.
    P.S: На vbox заработало, включил разрешение неразборчивого режима на сетевушках, которые смотрят в локалку.
    Завтра на esxi буду пробовать.


  • Добрый
    @max5775
    И не забыть об особенностях настройки сетевых в вирт. среде https://docs.netgate.com/pfsense/en/latest/virtualization/index.html


  • @max5775, Какой тип подключения к ISP1 и ISP2?


  • @pigbrother статика и там и там.
    Я пока думаю как лучше сделать. Или поставить перед шлюзами микротик и в него завести оба провайдера с балансировкой, а его выход подключить к обоим шлюзам или вот как на скрине оставить. Чтобы у каждого шлюза свой провайдер. Хотя тогда конечно, если упадет провайдер на мастере, то интернет пропадет.


  • Добрый.
    @max5775
    Какой смысл тогда в пф, если будут исп-ся МТ? Двойной NAT и вот это вот всё в придачу?
    Тут или МТ или пф.

    Зы. Я бы вообще оставил единственный пф + мультиВАН с балансировкой\failover. Он же у Вас как ВМ. Делайте (и проверяйте) бэкапы и все будет ОК. У меня так более 3-х лет пф работает на Proxmox-е.


  • @werter У меня много нестандартного в плане маршрутзации через него настроено и доступ в интернет там не самое основное его занятие.А микротик пока еще не умеет так гибко работать со списками доступа и блокировки в интернет, также близкого аналога Lightsquid нет.
    PfSense у меня и так сейчас работает в мультиване, но при падении данного шлюза отваливается доступ из одной локальной сети в другую. Мне нужно минимизировать или вообще исключить эту ситуацию. Когда я отвяжу эти локальные сети от зависимости пфсенса, то тогда вернусь к одному шлюзу


  • @max5775 said in Непонятная проблема с CARP:

    но при падении данного шлюза отваливается доступ из одной локальной сети в другую

    1. Перечитал с 1-го поста. О том, что у вас еще и мультиЛАН стоило, конечно, догадаться?
    2. С чего бы шлюзу падать? Выкл.\броски по питанию? Купите UPS - это же сервер, а не раб. станция секретарши 5-го зама.

    Сети у вас отделены друг от друга прямо на пф? Или перед пф (Л2-)свитч? Рисуйте схему. А то еще "сУпризы" могут вылезти.

    Не городите огород на пустом месте - не усложняйте себе жизнь. Один пф и два ЛАНА\ВАНА - простая (единая точка разруливания трафика) и надежная схема.

    Зы. Вижу единственный плюс в вашей задумке - это получение опыта работы с CARP.