Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    CARP - Erster pfSync löscht firewall rule für pfsync interface auf der secondary node

    Deutsch
    2
    4
    342
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      NSuttner
      last edited by

      Hallo,

      ich habe ein Problem mit der pfsync firewall rule. Nach dem ersten Sync schien alles okay, sobald ich eine weitere Änderung an der primären Firewall durchführe, wird die firewall rule auf der secundären Maschine, auf dem pfsync interface gelöscht und der sync scheitert.
      Ich habe bereits eine Lösung zu dem Problem im Forum gesehen. Es sieht wohl so aus, als das der interne Interfacename nicht mit dem der primären Maschine übereinstimmt, was man nicht in der Webconsole sehen kann. Das ist in der Tat so. Der pfsync interfacename ist in der primären Maschine das opt4 und in der sekundären opt2, wie auch immer es dazu gekommen ist, vermute durch einige Konfigversuche! Sehen tue ich es, wenn ich ein Backup erzeuge und das .xml editiere!

      Meine Frage ist nun, wie kann ich den internen Namen auf opt4 für pfsync in der sekundären Firewall, ohne ein Problem zu erzeugen, ändern? Ein Backup der sekundären Maschine erzeugen, das .XML editieren und den namen von opt2 auf opt4 ändern, danach per restore nur die interfaces zurücksichern? Oder kann ich das auch irgendwie online tun?

      Bin für jede Hilfe dankbar, da das System schon produktiv ist - Problem habe ich nicht sofort gemerkt!

      VG
      Norbert

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @NSuttner
        last edited by

        @nsuttner
        Hallo,

        in Status > Interfaces ist die Zuordnung zu erkennen, da werden die internen Namen angeführt. Daneben finden sich die Hardware-Ports. Sind diese identisch? Wäre auch wichtig, jedenfalls für die States-Synchronisation.

        Es sollte reichen, wenn du den Abschnitt Interfaces sicherst und bearbeitest.
        Die Reihenfolge der Interfaces (wan, lan, opt1, opt2,...) lass aber im XML lieber so, wie sie ist. Ich kann dir auch nicht sagen, wie die pfSense reagieren würde, wenn opt3 im XML nicht vorhanden wäre.
        Du könnstest den Inhalt der OPTx-Bereiche im XML, also zwischen bspw. "opt2" und "/opt2" austauchen, aber achte darauf, dass Hardware-Ports jener der primären pfSense entsprechen.

        Ich würde mir also die Interfaces der primären ebenfalls exportieren und die XML der sekundären entsprechend anlegen mit angepassten IPs und anschließend importieren.

        N 1 Reply Last reply Reply Quote 1
        • N
          NSuttner @viragomann
          last edited by

          @viragomann

          Hallo,

          danke für Deine Unterstützung, hat mir geholfen. Stimmt, unter Status -> Interfaces hat man den falschen internen Namen auf der sekundären Firewall auch sofort gesehen. Ich habe also nur die Interfaces gesichert, dann im .XML den internen Namen angepasst und die veränderte Datei wiederhergestellt! Danach ging der sync, ohne das die PFSYNC rule gelöscht wurde!!!

          Nochmals danke und VG, Norbert

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @NSuttner
            last edited by

            @nsuttner
            Freut mich, dass es reibungslos geklappt hat.
            Danke für die Rückmeldung.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.