Synchronisierungsfehler: Communications error occurred


  • Hallo,

    ich einem anderen Thema habe ich bereits angesprochen das ich neu im Thema pfsense bin. Dort wurde auch schon eine Frage beantwortet.

    Jetzt stehe ich vor dem ersten Problem.

    Ich habe für die LAN und WAN Schnittstellen jeweils eine CARP eingerichtet eine weitere Schnittstelle für den Sync (Heartbeat) zwischen den beiden Systemen.

    Die Übergabe der Masterrolle an den Slave (Backup) und zurück funktioniert ohne Fehler.

    Wenn ich allerdings im "Normalen" Rollenzustand eine Änderung am Master hinzufüge, Beispielsweise eine Paketfilterregel hinzufüge, bekomme ich den Fehler:

    "Communications error occurred
    A communications error occurred while attempting to call XMLRPC method host_firmware_version: @ 2021-01-13 10:17:57"

    Was mache ich falsch?

    pfsense.png

    Viele Grüße Tom


  • Mir ist noch was aufgefallen.

    Ich bekomme diesen Fehler weil, auf dem Backupsystem bzw. auf dem Sync Interface keine Paketfilterregel existiert. Lege ich sie an, funktioniert die Synchronisierung genau einmal, danach ist die Paketfilterregel auf dem Sync Interface wieder gelöscht worden, obwohl sie auf dem Master weiterhin existiert. 😖

    Gruß Tom


  • @tom-3
    Am Backup sollten auch keine Regel erstellt werden, sondern am Master. Das solle im anderen Tread klar geworden sein. Der Master wird Regel-Änderungen am Backup immer wieder mit seiner Einstellung überschreiben.

    Du musst also am Master die Regel am Sync-Interface erstellen, so dass sie für beide gilt. Nachdem sie nicht synchronisiert werden kann, musst du das hinterher nochmals auf der Backup-Maschine machen.


  • @viragomann

    Hi,

    ich glaube du hast mich missverstanden, oder ich habe mich falsch ausgedrückt 😳 .

    Ich habe aber das Problem schon erkannt, die Interfacenamen sind nur Aliasnamen, das System arbeitet mit den opt# Bezeichnungen, wenn diese auf beiden Systemen nicht gleich sind passt die Zuordnungen bei den NAT und Filterregeln nicht.

    Alles gut


  • @tom-3
    Das System arbeitet intern mit den Hardware-Adressen der Schnittstellen. Daher müssen diese gleich sein.
    Also auf beiden muss bspw. das DMZ-Interface am Port igb3 sein.
    Ich glaube, tatsächlich muss nur die Reihenfolge übereinstimmen, falls die Hardware nicht gleich ist.

  • LAYER 8 Moderator

    @tom-3 Einfache 3 Punkte abarbeiten:

    1. Im HA Setup darf NUR EIN (primary) Knoten das XMLRPC Syncing aktiv haben. Den PFSYNC Part darüber, muss aber auf BEIDEN Knoten rein.

    2. Auf dem SECONDARY! Node MUSS eine Allow Any Regel auf dem Sync Interface rein, damit INITIAL der Sync überhaupt funktionieren kann. Sonst blockt sie auf dem Interface nämlich schön alles und das bringt dir gar nichts. Ergo auf dem secondary und dann erst auf dem primary eine Regel anlegen à la: "allow from sync_net to sync_net any". Auf dem Standby zuerst anlegen, damit der Zeit hat die Regeln neu zu laden. Dann auf dem Master anlegen, damit sie beim ersten Sync dann logisch mit rüberrepliziert wird, sonst ist die Regel auf dem Standby natürlich instant wieder weg (weil sie im master set nicht drin war) und du hast nichts gewonnen.

    3. Beliebige Änderung an einem zu syncenden Part vornehmen (bspw. Alias anlegen) und speichern. Sicherheitshalber nochmal auf "Status / Filter Reload" und dort auf "Force Sync" draufhauen. Im Syslog vom Standby schauen ob der Sync ankam, angefangen und sauber beendet wurde.

    Dann sollte das Laufen.

    Ah klar und was @viragomann natürlich sagt. Alle Interfaces müssen genau dem selben HW Interface zugeordnet sein wie auf dem jeweiligen Partner-Node. Also beide WAN auf wan bspw. oder SYNC auf opt1 - wenn die Zuordnung nicht passt, hat man eine schnelle race condition an der Hand.


  • @jegr said in Synchronisierungsfehler: Communications error occurred:

    Ah klar und was @viragomann natürlich sagt. Alle Interfaces müssen genau dem selben HW Interface zugeordnet sein wie auf dem jeweiligen Partner-Node. Also beide WAN auf wan bspw. oder SYNC auf opt1 - wenn die Zuordnung nicht passt, hat man eine schnelle race condition an der Hand.

    Hi,

    und genau das war das Problem. Wir haben die Interfaces auf den Systemen in unterschiedlicher Reihenfolge angelegt (nur die Aliasnamen waren zum Schluss gleich), wir haben erst später gesehen das es dort unterschiedliche Zuordnungen gab. Wir haben die Interfaces neu angelegt und siehe da es funktioniert.

    Vielen Dank für eure Reaktionen.

    Gruß Tom

  • LAYER 8 Moderator

    @tom-3 Prima, dass es dann gleich geklappt hat :) 👍