Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense HA firewall синхронизирует не на те интерфейсы!

    Scheduled Pinned Locked Moved Russian
    9 Posts 2 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      testsia
      last edited by

      Привет всем!
      Настроены 2 Pfsense в режиме отказоустойчевого кластера, были настроены еще на версии 2.4
      Постепенно добавлялись виртуальные интерфейсы, и в последнее время был добавлен Openvpn (TAP) L2. Переназначен как интерфейс и обеденен в бридж. На втором сервере сделано ровно тоже самое.
      В Carp интерфейсы друг друга видят, первый как master второй slave.
      Но после того как я зашел в firewall и начал сравнивать между серверами, выяснилось что есть проблема!
      Все старые интерфейсы при изменении правил на master тут же переезжают на slave.
      Но новые, например тот же бридж не переносит правила.

      Для чистоты эксперимента, создаю новый интерфейс на одном и втором сервере, и вот резельтат:
      создал правило на master перехожу на slave и вижу что туда прилетела правила совсем с другого интерфейса!!!

      Не могу понять в чем дело.
      Снимок экрана 2021-09-08 в 11.27.56.png Снимок экрана 2021-09-08 в 11.28.43.png

      Как то вот так.....

      werterW 1 Reply Last reply Reply Quote 0
      • werterW
        werter @testsia
        last edited by werter

        Добрый
        @testsia

        Версия 2.5.х на обоих?
        Имена интерфейсов на обоих пф должны быть ОДИНАКОВЫ.

        Внимательно просмотрите еще раз доку по CARP. Может что-то упустили.

        ЗЫ. Касаемо скринов.
        Сети 192.168.26.х и 192.168.24.х "живут" на интерфейсе VL_0096_xxx ? Если нет, то эти правила не работают. Можете их удалить.

        T 1 Reply Last reply Reply Quote 0
        • T
          testsia @werter
          last edited by testsia

          @werter said in Pfsense HA firewall синхронизирует не на те интерфейсы!:

          Добрый
          @testsia

          Версия 2.5.х на обоих?
          Имена интерфейсов на обоих пф должны быть ОДИНАКОВЫ.

          Внимательно просмотрите еще раз доку по CARP. Может что-то упустили.

          -Версии одинаковы
          -Имена одинаковы (в скринах видно)

          • доки по CARP пересмотрел, да и изначально все сам настраивал.

          Сети 192.168.26.х и 192.168.24.х "живут" на интерфейсе BR_KR_VPN_TAPL2 но на сервер slave прилетает на интерфейс VL_0096_xxx.

          Пробовал на slave пересоздать интерфейсы, результат тот же

          werterW 1 Reply Last reply Reply Quote 0
          • werterW
            werter @testsia
            last edited by werter

            @testsia said

            Версии одинаковы

            Номер версии напишите.

            Сети 192.168.26.х и 192.168.24.х "живут" на интерфейсе BR_KR_VPN_TAPL2 но на сервер slave прилетает на интерфейс VL_0096_xxx.

            Пф ими на VL_0096_xxx ТОЧНО не рулит. Он рулит только тем, что идет с интерфейса ВОВНЕ. По этому в Src могут быть только сети, ринадлежащие интерфейсу и никак иначе.

            в последнее время был добавлен Openvpn (TAP) L2.

            Почему tap ? Общая сеть?

            Зы. Логи. Смотрите логи на предмет ошибок на обоих.

            T 1 Reply Last reply Reply Quote 0
            • T
              testsia @werter
              last edited by testsia

              @werter said in Pfsense HA firewall синхронизирует не на те интерфейсы!:

              @testsia said

              Версии одинаковы

              Номер версии напишите.

              Сети 192.168.26.х и 192.168.24.х "живут" на интерфейсе BR_KR_VPN_TAPL2 но на сервер slave прилетает на интерфейс VL_0096_xxx.

              Пф ими на VL_0096_xxx ТОЧНО не рулит. Он рулит только тем, что идет с интерфейса ВОВНЕ. По этому в Src могут быть только сети, ринадлежащие интерфейсу и никак иначе.

              в последнее время был добавлен Openvpn (TAP) L2.

              Почему tap ? Общая сеть?

              Снимок экрана 2021-09-08 в 12.00.47.png Снимок экрана 2021-09-08 в 12.01.03.png

              Почему tap ? он нужен для спецефического программного обеспечения которому нужен широковещательный трафик, сервер стоит в датацентре а оборудование удаленно (multicast traffic). Пришлось поднять Openvpn tap. Серверная часть и оборудование должно быть в одной сети.

              T 1 Reply Last reply Reply Quote 0
              • T
                testsia @testsia
                last edited by testsia

                @testsia

                Выяснил где косяк, но как его победить я не понял.
                Например создаю новый Vlan интерфейс на

                • master.
                  Назначаю ему интерфейс. pfsense изначально сам дает ему определенно имя, например OPT13.
                • slave
                  Делаю тоже самое, создаю новый Vlan, назначаю интерфейс pfsense изначально сам дает ему определенно имя, OPT13.
                  Ну вроде как все ОК, после этого я переименовываю OPT13 на master и slave на мое имя. Создаю carp проверяю firewall все синхронизируется!!!

                Эксперимент на проблемных:
                Удаляю проблемные интерфейсы на master и slave (те которые коряво синхронизировались)

                • Создаю новые, на master- создал vlan, назначаю интерфейс pfsense - дает ему имя OPT9
                • Создаю новые, на slave- создал vlan, назначаю интерфейс pfsense - дает ему имя OPT5

                Переименовываю их, одинаково на master и slave.
                Создаю carp интерфейс, и firewall синхронизирует не корректно!
                Вот такая история. Как пофиксить?????

                Я так понял что для pfsense имеет значение порядок создания интерфейсов.....
                Снимок экрана 2021-09-08 в 16.39.00.png

                • Так и есть. firewall c VL_00096_Server синхронизируется на BR_KR_Vlan_TAPL2
                werterW 1 Reply Last reply Reply Quote 0
                • werterW
                  werter @testsia
                  last edited by werter

                  @testsia
                  Вы проблемные интерфейсы после удаления создаете с теми же именами? Попробуйте др. имена им дать.

                  Зы. Вам CARP так критичен? Думал когда-то внедрить, но пришел к выводу, что это усложнит систему. В итоге пф живет на proxmox и бэкапится по расписанию на НАС. Проблем нет - проверено 3+ годами эксплуатации.

                  T 1 Reply Last reply Reply Quote 0
                  • T
                    testsia @werter
                    last edited by

                    @werter said in Pfsense HA firewall синхронизирует не на те интерфейсы!:

                    ейсы после удаления создаете с теми же именам

                    Проблемный интерфейс создан с тем же именем!!! На самом деле вы можете его называть как угодно это всего Description
                    Провозился день, но разобрался.
                    Решение:
                    Когда вы хотите поднять CARP создавайте интерсейсы по очереди, на одном и сразу же на втором pfsense.
                    Если вы перепутали очередность , а после переименовали - в конфигурации pfsense ничего не поменяется!!!

                    Я взял выгрузил бекап с master и slave после чего запустил сравнение файлов.
                    Pfsense называет интерфейсы как "OPT" а дальше уже идет <descr> Это то как вы его называете. Вот пример с бекапа:

                    • <opt8>
                      <descr><![CDATA[VL_2027_Vconf]]></descr>
                      <if>igb1.2027</if>
                      <spoofmac></spoofmac>
                      <enable></enable>
                      <ipaddr>192.168.198.125</ipaddr>
                      <subnet>24</subnet>
                      </opt8>

                    Реальное название интерфейса opt8 а переименовал я его уже в VL_2027_Vconf.
                    Так вот, когда я создавал интерфейсы я создал сначала все на master, а после этого уже начал создавать на slave. И так как их у меня много скорее всего перепутал порядок создания. Как результат на master это интерфейс OPT9 с Description VL_2027_Vconf. а на slave это OPT5 с Description VL_2027_Vconf.
                    Логично что он синхронизирует не правильно.
                    Как по мне разработчикам Pfsense нужно добавить в реальное название интерфейса в конфигурацию. Так как через вэб интерфейс нигде нет такой инфы. Вот такая история, всем спасибо!!!

                    werterW 1 Reply Last reply Reply Quote 2
                    • werterW
                      werter @testsia
                      last edited by

                      @testsia
                      Спасибо, что поделились решением.

                      В оф. доке про порядок создания интерфейсов есть:
                      https://docs.netgate.com/pfsense/en/latest/troubleshooting/high-availability.html

                      As mentioned on pfSense XML-RPC Config Sync Overview, the interface assignment order and internal identifiers must match identically on both nodes.

                      If the interface order does not match, the configuration synchronziation process will copy rules and other settings such as DHCP failover to the wrong interfaces on the secondary node.

                      1 Reply Last reply Reply Quote 1
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.