CARP mit OpenVPN

JeGr · Aug 30, 2006, 8:25 AM

Grüße beisammen,

ich habe gerade nach Erhalt meiner zweiten kleinen WRAP kurz versucht, nach dem netten Tutorial OpenVPN zu aktivieren. Problematisch ist, dass an einer Stelle erwähnt wird, dass Regeln für das IF zu aktivieren wären, allerdings wird bei mir nach Einrichtung des OpenVPN Servers überhaupt kein Interface für OVPN angelegt noch aktiviert. Somit kann ich darauf auch keine Regeln aktivieren.

Das 3. Interface heißt bei mir SYNC, da das Setup (wie in einem anderen Thread schon beschrieben) ein 2-WRAP-CARP-Cluster werden soll, die füreinander einspringen können (momentan noch mit händischem umstecken der DSL Leitung, später ggf. 2 Leitungen). Stört hier das CARP IF den Anlegeprozess des OVPN Pseudo-IFs?

Grüßend
Grey

hoba · Aug 30, 2006, 12:04 PM

Eigentlich dürfte CARP damit nichts zu tun haben. Kannst Du die gleiche Konfiguration mal bauen und CARP weglassen? Geht es dann? Wenn ja, was passiert, wenn Du erst OVPN konfigurierst und anschließend CARP draufsetzt?

JeGr · Aug 30, 2006, 12:28 PM

Habe ich gerade getan. SYNC IF gelöscht, OpenVPN Konfig gelöscht. OVPN Server neu angelegt und gespeichert. In den Regeln kein VPN Interface zu finden. Aber: Auf der Shell gibt ifconfig bereitwillig zu, dass ein tun0 IF mit den eingegebenen Netzdaten angelegt wurde (habe als OVPN Netz 172.16.66.0/24 angegeben).

Strange… Das lief doch schonmal sauber...

hoba · Aug 30, 2006, 1:15 PM

Welcher Versionsstand ist das?

JeGr · Aug 30, 2006, 2:32 PM

Der neueste. rc2g nach Scotts Updateanleitung.

JeGr · Aug 31, 2006, 7:46 AM

Hmm, habe es gestern nochmals versucht. Kein Erfolg.
Allerdings wird das tun0 wie gesagt angelegt:


        tun0: flags=8051 <up,pointopoint,running,multicast>mtu 1500
        inet6 fe80::20d:b9ff:fe04:ab90%tun0 prefixlen 64 scopeid 0x9
        inet 172.16.66.1 --> 172.16.66.2 netmask 0xffffffff
        Opened by PID 70925</up,pointopoint,running,multicast>

Sehr seltsam. Werde jetzt nochmals einen Reset auf "factory defaults" machen, damit er bei "null" anfängt und nochmals den OVPN Server einrichten. VIelleicht steckt das CARP IF doch noch irgendwo drin.

JeGr · Sep 8, 2006, 10:55 AM

Hat sich in der Richtung in den rc2s (h-i) etwas verändert? Ich komme vllt. am Wochenende dazu, meine Blackbox nochmal neu aufzusetzen (dann mit rc2i oder dem letzten Snapshot den Scott hat) und werde es nochmal testen, aber ich steige nicht wirklich dahinter, warum es sich so seltsam verhält.

Um nebenbei noch eine andere Frage aufzuwerfen: Wird CARP über COM(123) unterstützt (ggf. mit eigenen Kniffen)?

hoba · Sep 8, 2006, 11:26 AM

Glaube nicht, daß sich dahingehend was geändert hat, aber probiere es bitte mal mit dem letzten Snapshot nach einer frischen Installation.

Was meinst Du mit CARP auf COM? Zum Syncen der States, also quasi pfsync? pfsync und CARP sind eigentlich unterschiedliche Features, werden aber gerne gemeinsam eingesetzt.

JeGr · Sep 8, 2006, 1:18 PM

Mein Fehler :) Ja, ich meinte damit den Heartbeat, der in deinem Beispiel ja über OPT läuft. Die beiden Maschinen, die ich im Auge habe, haben aber Bauartbedingt nur 2 NICs. Nachdem ich heute in der jetztigen Konfiguration einen FailOver ausgelöst habe, sind mir die Haare büschelweise ausgefallen. Der neue Master fand keine default route, der "defekte" hat die Interfaces nicht gelöst etc etc. Alles unschön. Deshalb würde ich das gerne mit pfSense ablösen :)

hoba · Sep 8, 2006, 1:24 PM

Du brauchst nicht zwingend 3 Interfaces. Du kannst den SYNC auch auf dem LAN mitlaufen lassen. Würde ich für sinnvoller halten statt mit seriell anzufangen (falls das überhaupt geht, habe keine Ahnung). Der Heartbeat ist lediglich ein Broadcast alle Sekunde, der zudem ja mit dem Passwort der VHID vershlüsselt ist.

JeGr · Sep 8, 2006, 1:53 PM

Was würde dann passieren wenn ich ihm

a) das ext. IF
b) das int. IF

abziehe? Bei a) sicher der andere node übernehmen, aber bei b)? Wie bekommt der 2. Node dann den Ausfall mit? grübel

hoba · Sep 8, 2006, 2:35 PM

Der Broadcast vom Master fällt aus. Broadcasts laufen sowieso immer auf dem Interface auf dem die CARP IP sitzt, von daher ist es kein Unterschied.

http://www.countersiege.com/doc/pfsync-carp/ für technische Hintergründe.

JeGr · Sep 9, 2006, 7:19 PM

grusel ich habe wohl zu lange mit dieser Bastellösung verbracht und davon einiges in CARP reininterpretiert ;)

Ich werde dann später nochmal die Blackbox plätten und mit neuem Image versehen :)

JeGr · Sep 9, 2006, 8:54 PM

So nach dem neuen Aufsetzen der Blackbox mit dem 0607er Image habe ich wieder einen OVPN Server erzeugt. Vorher war nur LAN konfiguriert und sis1 (SYNC) und sis2 (WAN) eingestellt. Nach dem Erstellen des Servers war dann wiederum kein IF in den PF-Regeln zu sehen, aber unter "Interfaces/Assign.." konnte ich nun ein neues hinzufügen und dort "tun0" auswählen. Ich denke das sollte dann funktionieren, sofern ich nicht falsch liege, da tun0 ja von OVPN erst erstellt wird. Das PPPOE Interface heißt unter FreeBSD ja ng0 (oder irre ich da? Unter OpenBSD war es auch mal tun0, deshalb komme ich da immer mal wieder durcheinander ;))

–-

und sollte es Bedarf an Tests geben wg. den Freezes aus anderen Posts, lasst es mich wissen, die Blackbox (WRAP 128MB/3IF Version) ist noch nicht in Betrieb und kann "belastet" werden :)

hoba · Sep 9, 2006, 9:04 PM

Debugginghilfe für die Systemhänger wäre nett. Das Hauptproblem ist, daß es bei keinem der Devs und auch bei keinem meiner Produktivsysteme auftritt. Wenn Dein System die Probleme hat gib mir bitte bescheid, wir können Dir dann eine Version mit Debuggingkernel schicken zum testen.

JeGr · Sep 9, 2006, 9:25 PM

Sobald was auftritt hört ihr von mir. Irgendwelche speziellen Wünsche wie die Umgebung sein sollte? Als CARP oder ohne, reiner normaler Router oder dergleichen? Wie gesagt, sie ist momentan frei verfügbar.

hoba · Sep 9, 2006, 9:34 PM

Uns fehlen bisher Details, also würde ich sagen "beat the shit out of it and make it burn" ;D

JeGr · Sep 12, 2006, 7:58 AM

Gut, bisher läuft das erstmal vor sich hin :)

Was mir nun gestern noch aufgefallen ist bei der CARP Konfiguration: Die "preemption" Klausel ist nicht mehr im Interface. Gibt es da einen bestimmten Grund?

hoba · Sep 12, 2006, 9:26 PM

Preemption ist mittlerweile automatisch immer angeschaltet. CARP Loadbalancing gibt es nicht mehr. Daher sind diese beiden Optionen jetzt nicht mehr im GUI.

JeGr · Sep 13, 2006, 9:28 AM

CARP Loadbalancing

Nachdem ich gestern erst die OpenBSD CARP Seiten gelesen habe:

Gibt es generell nicht mehr in pfSense (wg.?) oder wurde anders gelöst, …?
CARP Loadbalancing sollte der Doku nach zu schließen ja gelöst werden, indem man die selbe virtuelle IP mit vertauschten Masterrollen und anderer VHID erneut vergibt, oder irre ich da?