CARP mit OpenVPN

hoba

Zum einen haben viele Leute CARP immer falsch konfiguriert, daher haben wir eine Abfrage eingebaut, die gleiche VHIDs nicht mehr zuläßt. Zum anderen hat CARP loadbalancing immer irgendwie zu Kernelpanics geführt, darum haben wir es herausgenommen (war damals aber auch noch eine alphaversion von FreeBSD 6.1). Abgesehen davon halten die Entwickler von CARP das loadbalancing auch nicht für optimal.

JeGr

OffT: Hmm, PF war von Daniel, CARP war sehr viel von Ryan, oder?

OnT: Da steht er nun, der arme Thor… Failover ist klar und funktioniert. Allerdings habe ich eine RZ Firewall, die ich über 2 Maschinen streuen wollte. Momentan steht eine nur Failover auf Abruf herum und tut nichts für ihr Geld. Wenn die genauso Pakete "bearbeiten" würde (und deshalb fand ich den CARP LB Ansatz interessant), wäre es nicht nur ein Standby-Failover. Hast du eine andere Möglichkeit im Kopf, wie das realisierbar wäre (oder vllt. übersehe ich vor lauter Bäumen was)?

Grüße
Grey

hoba

Nein, Du übersiehst nichts. Diese Konfiguration unterstützen wir nicht mehr, weil sie einfach nicht funktioniert hatte als wir sie getestet haben und kernel panics sind generell eine schlechte Sache  ;)

Also ohne Backendmodifikationen kriegst Du das nicht mehr hin. U.u. hat das damals auch an der Alphaversion von FreeBSD 6.1 gelegen, aber es ist eigentlich generell nicht so sehr sinnvoll  die Last auf 2 schwächere Maschinen zu verteilen, da dann beim Ausfall einer Maschine eine Überlastung der anderen auftritt. Sind beide Maschinen performant genug um einzeln mit der Last fertig zu werden sehe ich keinen Vorteil darin beide Maschinen gleichzeitig lastverteilt aktiv zu haben. Die Sache verhält sich natürlich anders, wenn Du so viel Last hast, daß eine einzelne performante Maschine dies nicht bewerkstelligen kann.

JeGr

Ein weiterer kleiner Punkt, den ich hier anfragen wollte (weil es zum "großen Ganzen" gehört ;)):

Ich bräuchte in der Konfiguration einen IP Alias (keine VIP) auf dem OPT1 (DMZ) Interface. Ich sehe aber nicht wirklich, dass das in der WebGUI vorgesehen ist. Übersehe ich da was (nix neues g) oder gibt es in der config.xml irgendwelche Settings, die man vorgeben könnte?

Dank und Gruß
Grey

hoba

Interface IP Alias wird bereits im HEAD code berücksichtigt und unterstützt. In der Version 1.0 (also RELENG_1) steht das leider noch nicht zur Verfügung. Du könntest Dir aber ein kleines Script schreiben, welches Du z.B. nach jedem Filterreload oder beim Booten ausführst (siehe http://faq.pfsense.com/index.php?action=artikel&cat=10&id=38&artlang=en&highlight=hidden ).