CARP mit OpenVPN


  • Moderator

    Grüße beisammen,

    ich habe gerade nach Erhalt meiner zweiten kleinen WRAP kurz versucht, nach dem netten Tutorial OpenVPN zu aktivieren. Problematisch ist, dass an einer Stelle erwähnt wird, dass Regeln für das IF zu aktivieren wären, allerdings wird bei mir nach Einrichtung des OpenVPN Servers überhaupt kein Interface für OVPN angelegt noch aktiviert. Somit kann ich darauf auch keine Regeln aktivieren.

    Das 3. Interface heißt bei mir SYNC, da das Setup (wie in einem anderen Thread schon beschrieben) ein 2-WRAP-CARP-Cluster werden soll, die füreinander einspringen können (momentan noch mit händischem umstecken der DSL Leitung, später ggf. 2 Leitungen). Stört hier das CARP IF den Anlegeprozess des OVPN Pseudo-IFs?

    Grüßend
    Grey



  • Eigentlich dürfte CARP damit nichts zu tun haben. Kannst Du die gleiche Konfiguration mal bauen und CARP weglassen? Geht es dann? Wenn ja, was passiert, wenn Du erst OVPN konfigurierst und anschließend CARP draufsetzt?


  • Moderator

    Habe ich gerade getan. SYNC IF gelöscht, OpenVPN Konfig gelöscht. OVPN Server neu angelegt und gespeichert. In den Regeln kein VPN Interface zu finden. Aber: Auf der Shell gibt ifconfig bereitwillig zu, dass ein tun0 IF mit den eingegebenen Netzdaten angelegt wurde (habe als OVPN Netz 172.16.66.0/24 angegeben).

    Strange… Das lief doch schonmal sauber...



  • Welcher Versionsstand ist das?


  • Moderator

    Der neueste. rc2g nach Scotts Updateanleitung.


  • Moderator

    Hmm, habe es gestern nochmals versucht. Kein Erfolg.
    Allerdings wird das tun0 wie gesagt angelegt:

    
            tun0: flags=8051 <up,pointopoint,running,multicast>mtu 1500
            inet6 fe80::20d:b9ff:fe04:ab90%tun0 prefixlen 64 scopeid 0x9
            inet 172.16.66.1 --> 172.16.66.2 netmask 0xffffffff
            Opened by PID 70925</up,pointopoint,running,multicast> 
    

    Sehr seltsam. Werde jetzt nochmals einen Reset auf "factory defaults" machen, damit er bei "null" anfängt und nochmals den OVPN Server einrichten. VIelleicht steckt das CARP IF doch noch irgendwo drin.


  • Moderator

    Hat sich in der Richtung in den rc2s (h-i) etwas verändert? Ich komme vllt. am Wochenende dazu, meine Blackbox nochmal neu aufzusetzen (dann mit rc2i oder dem letzten Snapshot den Scott hat) und werde es nochmal testen, aber ich steige nicht wirklich dahinter, warum es sich so seltsam verhält.

    Um nebenbei noch eine andere Frage aufzuwerfen: Wird CARP über COM(123) unterstützt (ggf. mit eigenen Kniffen)?



  • Glaube nicht, daß sich dahingehend was geändert hat, aber probiere es bitte mal mit dem letzten Snapshot nach einer frischen Installation.

    Was meinst Du mit CARP auf COM? Zum Syncen der States, also quasi pfsync? pfsync und CARP sind eigentlich unterschiedliche Features, werden aber gerne gemeinsam eingesetzt.


  • Moderator

    Mein Fehler :) Ja, ich meinte damit den Heartbeat, der in deinem Beispiel ja über OPT läuft. Die beiden Maschinen, die ich im Auge habe, haben aber Bauartbedingt nur 2 NICs. Nachdem ich heute in der jetztigen Konfiguration einen FailOver ausgelöst habe, sind mir die Haare büschelweise ausgefallen. Der neue Master fand keine default route, der "defekte" hat die Interfaces nicht gelöst etc etc. Alles unschön. Deshalb würde ich das gerne mit pfSense ablösen :)



  • Du brauchst nicht zwingend 3 Interfaces. Du kannst den SYNC auch auf dem LAN mitlaufen lassen. Würde ich für sinnvoller halten statt mit seriell anzufangen (falls das überhaupt geht, habe keine Ahnung). Der Heartbeat ist lediglich ein Broadcast alle Sekunde, der zudem ja mit dem Passwort der VHID vershlüsselt ist.


  • Moderator

    Was würde dann passieren wenn ich ihm

    a) das ext. IF
    b) das int. IF

    abziehe? Bei a) sicher der andere node übernehmen, aber bei b)? Wie bekommt der 2. Node dann den Ausfall mit? grübel



  • Der Broadcast vom Master fällt aus. Broadcasts laufen sowieso immer auf dem Interface auf dem die CARP IP sitzt, von daher ist es kein Unterschied.

    http://www.countersiege.com/doc/pfsync-carp/ für technische Hintergründe.


  • Moderator

    grusel ich habe wohl zu lange mit dieser Bastellösung verbracht und davon einiges in CARP reininterpretiert ;)

    Ich werde dann später nochmal die Blackbox plätten und mit neuem Image versehen :)


  • Moderator

    So nach dem neuen Aufsetzen der Blackbox mit dem 0607er Image habe ich wieder einen OVPN Server erzeugt. Vorher war nur LAN konfiguriert und sis1 (SYNC) und sis2 (WAN) eingestellt. Nach dem Erstellen des Servers war dann wiederum kein IF in den PF-Regeln zu sehen, aber unter "Interfaces/Assign.." konnte ich nun ein neues hinzufügen und dort "tun0" auswählen. Ich denke das sollte dann funktionieren, sofern ich nicht falsch liege, da tun0 ja von OVPN erst erstellt wird. Das PPPOE Interface heißt unter FreeBSD ja ng0 (oder irre ich da? Unter OpenBSD war es auch mal tun0, deshalb komme ich da immer mal wieder durcheinander ;))

    –-

    und sollte es Bedarf an Tests geben wg. den Freezes aus anderen Posts, lasst es mich wissen, die Blackbox (WRAP 128MB/3IF Version) ist noch nicht in Betrieb und kann "belastet" werden :)



  • Debugginghilfe für die Systemhänger wäre nett. Das Hauptproblem ist, daß es bei keinem der Devs und auch bei keinem meiner Produktivsysteme auftritt. Wenn Dein System die Probleme hat gib mir bitte bescheid, wir können Dir dann eine Version mit Debuggingkernel schicken zum testen.


  • Moderator

    Sobald was auftritt hört ihr von mir. Irgendwelche speziellen Wünsche wie die Umgebung sein sollte? Als CARP oder ohne, reiner normaler Router oder dergleichen? Wie gesagt, sie ist momentan frei verfügbar.



  • Uns fehlen bisher Details, also würde ich sagen "beat the shit out of it and make it burn"  ;D


  • Moderator

    Gut, bisher läuft das erstmal vor sich hin :)

    Was mir nun gestern noch aufgefallen ist bei der CARP Konfiguration: Die "preemption" Klausel ist nicht mehr im Interface. Gibt es da einen bestimmten Grund?



  • Preemption ist mittlerweile automatisch immer angeschaltet. CARP Loadbalancing gibt es nicht mehr. Daher sind diese beiden Optionen jetzt nicht mehr im GUI.


  • Moderator

    CARP Loadbalancing

    Nachdem ich gestern erst die OpenBSD CARP Seiten gelesen habe:

    Gibt es generell nicht mehr in pfSense (wg.?) oder wurde anders gelöst, …?
    CARP Loadbalancing sollte der Doku nach zu schließen ja gelöst werden, indem man die selbe virtuelle IP mit vertauschten Masterrollen und anderer VHID erneut vergibt, oder irre ich da?



  • Zum einen haben viele Leute CARP immer falsch konfiguriert, daher haben wir eine Abfrage eingebaut, die gleiche VHIDs nicht mehr zuläßt. Zum anderen hat CARP loadbalancing immer irgendwie zu Kernelpanics geführt, darum haben wir es herausgenommen (war damals aber auch noch eine alphaversion von FreeBSD 6.1). Abgesehen davon halten die Entwickler von CARP das loadbalancing auch nicht für optimal.


  • Moderator

    OffT: Hmm, PF war von Daniel, CARP war sehr viel von Ryan, oder?

    OnT: Da steht er nun, der arme Thor… Failover ist klar und funktioniert. Allerdings habe ich eine RZ Firewall, die ich über 2 Maschinen streuen wollte. Momentan steht eine nur Failover auf Abruf herum und tut nichts für ihr Geld. Wenn die genauso Pakete "bearbeiten" würde (und deshalb fand ich den CARP LB Ansatz interessant), wäre es nicht nur ein Standby-Failover. Hast du eine andere Möglichkeit im Kopf, wie das realisierbar wäre (oder vllt. übersehe ich vor lauter Bäumen was)?

    Grüße
    Grey



  • Nein, Du übersiehst nichts. Diese Konfiguration unterstützen wir nicht mehr, weil sie einfach nicht funktioniert hatte als wir sie getestet haben und kernel panics sind generell eine schlechte Sache  ;)

    Also ohne Backendmodifikationen kriegst Du das nicht mehr hin. U.u. hat das damals auch an der Alphaversion von FreeBSD 6.1 gelegen, aber es ist eigentlich generell nicht so sehr sinnvoll  die Last auf 2 schwächere Maschinen zu verteilen, da dann beim Ausfall einer Maschine eine Überlastung der anderen auftritt. Sind beide Maschinen performant genug um einzeln mit der Last fertig zu werden sehe ich keinen Vorteil darin beide Maschinen gleichzeitig lastverteilt aktiv zu haben. Die Sache verhält sich natürlich anders, wenn Du so viel Last hast, daß eine einzelne performante Maschine dies nicht bewerkstelligen kann.


  • Moderator

    Ein weiterer kleiner Punkt, den ich hier anfragen wollte (weil es zum "großen Ganzen" gehört ;)):

    Ich bräuchte in der Konfiguration einen IP Alias (keine VIP) auf dem OPT1 (DMZ) Interface. Ich sehe aber nicht wirklich, dass das in der WebGUI vorgesehen ist. Übersehe ich da was (nix neues g) oder gibt es in der config.xml irgendwelche Settings, die man vorgeben könnte?

    Dank und Gruß
    Grey



  • Interface IP Alias wird bereits im HEAD code berücksichtigt und unterstützt. In der Version 1.0 (also RELENG_1) steht das leider noch nicht zur Verfügung. Du könntest Dir aber ein kleines Script schreiben, welches Du z.B. nach jedem Filterreload oder beim Booten ausführst (siehe http://faq.pfsense.com/index.php?action=artikel&cat=10&id=38&artlang=en&highlight=hidden ).


Locked