Demande d'aide pour une configuration en cluster pfSense 2.0.1



  • Bonjour à tous,

    j'ai configuré deux pfsense en cluster, avec des interfaces virtuelles CARP, aux nombres de 6 (LAN WAN WAN2 FORM DMZ et SYNC).
    J'ai donc un pfsense qui joue le rôle de master et le second de backup.
    Mais il y a une chose que je ne comprend pas…

    Lorsque que j'éteins le master, le backup doit prendre les rôles de master dans "carp status". Jusque ici tout va bien.
    Mais lorsque que je rallume le master, je n'ai pas toutes mes interfaces CARP qui se remette en master. Il y en a toujours une ou deux (pas toujours les mêmes) qui reste en master sur le  pfsense backup... Et souvent j'ai l'interface virtuelle CARP du LAN qui reste en master sur le pfsense backup.

    J'ai bien réglé dans mes interfaces virtuelles le skew à 0, sur le master, et j'ai vérifiais, ils sont bien à 100 sur le backup.

    J'ai une autre question aussi  ???
    Je ne sais pas si c'est possible, mais j'aimerais que sur le pfsense qui a le rôle de master, lorsque que mes deux interfaces WAN et WAN2 tombe, j'aimerais que l'interface LAN se mettent en backup pour que le 2eme pfsense prenne le relais et puisse fournir une connexion Internet au LAN.
    Car j'ai testé, si je débranche les deux câbles des interfaces WAN et WAN2 sur le master, ben j'ai plus de connexion à Internet, en sachant que sur le pfsense backup les deux liens WAN fonctionnent.

    Voila j’espère être assez clair, si vous avez besoin de plus de précision n'hésitez pas  ;)
    Merci.



  • Pouvez vous décrire l'environnement réseau précisément, wan en particulier.



  • Alors l'interface WAN est en :
    -192.168.3.7/24 sur le master
    -192.168.3.6/24 sur le backup
    -192.168.3.8/24 Virtual IP.
    Sa passerelle est le routeur auquel il est relié directement : 192.168.3.1/24

    L'interface WAN2 est en :
    -172.16.100.253/24 sur le master
    -172.16.100.254/24 sur le backup
    -172.16.100.251/24 Virtual IP.
    Sa passerelle est le routeur auquel il est relié directement : 172.16.100.1/24

    L'interface LAN est en 192.168.1.0/24

    J’espère avoir répondu à votre question, au sinon précisez moi les autres informations que vous voulez.



  • Tes interfaces virtuels sont bien en mode CARP ???
    pour le reste la conf est indetiques sur les interfaces virtuels…Meme la description...

    T 2 pf sont ds la meme versions ???

    As tu un interface pour le failover (celui que tu indiques ds "carp settings - synchronyse to ip")...ds tes logs voit tu les evenements concernant le carp et si tu fait un tcpdump voit tu les trames vrrp ???

    j'ai eu ce probleme sur des vlans, et pour moi cetait les points qui m'ont permis de trouver pourquoi ca fonctionnait qu'a moitié...bon courage...



  • Bonjour,

    oui mes interfaces virtuelles sont bien en mode CARP.
    La conf est identique sur les deux pfsense (sauf pour le skew), même la description. Les adresses virtuelles sur le pfsense backup se sont bien créées par synchronisation lors de la configuration du pfsense master, donc tout est bien identique.

    PAr contre voici mes version de pfsense :
    -master : 2.0.1-RELEASE (i386)
    built on Mon Dec 12 17:53:52 EST 2011
    FreeBSD 8.1-RELEASE-p6

    -backup : 2.0.1-RELEASE (amd64)
    built on Mon Dec 12 19:25:58 EST 2011
    FreeBSD 8.1-RELEASE-p6

    Car j'ai commandé deux appliance sur osnet.eu (FWA-5020 Firewall FWA-5020) et l'un d'entre eux rencontré des soucis, j'ai fait une réinstalle en suivant la procédure de osnet, d’où la différence…

    J'ai bien la gestion du failover sur mes pfsense, sur mes 2 interfaces WAN.Mais dans "CARP setting - synchronise to ip" j'utilise une interface physique SYNC dédiée.

    Pour les logs, si je me souviens bien je vois des évènements concernant le CARP, mais à vérifier... et de même pour les captures de trames dès que je peux je test.
    Merci beaucoup en tout cas.



  • Alors j'ai fait une capture de trames via l'interface de pfsense, et je vois bien les trames vrrp sur les interfaces concernées (pas SYNC).

    Dans les logs de pfsense je vois également les évènements de la gestion des interfaces CARP, voici un exemple ou l'interface vip4 était en backup sur le pfsense master avant le redémarrage du pfsense backup. Au redémarrage je me retrouve avec vip4 et vip5 en statut backup sur le pfsense master….

    Jun 11 16:36:30 	kernel: vip4: link state changed to UP
    Jun 11 16:39:54 	kernel: vip5: MASTER -> BACKUP (more frequent advertisement received)
    Jun 11 16:39:54 	kernel: vip5: link state changed to DOWN
    Jun 11 16:39:56 	kernel: vip4: MASTER -> BACKUP (more frequent advertisement received)
    Jun 11 16:39:56 	kernel: vip4: link state changed to DOWN
    

    Cordialement.



  • Bon ca doit etre un pb de conf siot sur les pfsense soit sur tes switch ou routeurs entre lse 2…

    L'interface failover du carp est-il en lien direct ou passe t il par des vlan et des switchs ???

    Sinon technique simple...tu recommence a zero (pour le carp), et tu fait interface un par un...avec bascule pour chaque...c un peu bourrin, mais des fois on peut voir ou ca coince...en meme temps tu met un tcpdump et un tail -f /var/log/syslog et tu regardes ce qui se passe...

    Pour le vrrp (carp sous bsd) tu doit voir des trames d'echanges entre chaque interface...vers l'interface backup de l'autre pf...Si tu as 2 master c qu'il ne se voient pas...mais que le carp fonctionne...essaie de suivre ta trame reseau pour savoir ou elle bloque...(as tu pensé a laisser passer les trames vrrp sur ton pf ???

    Si jamais tu montes tous tes interfaces, et que cela fonctionne encore pas tres bien, tu peux disables tes regles de firewall et mettre des logs sur des regles que tu te crees pour regarder le vrrp (carp)...tu fait donc un filtre...Le processus est :

    La trame arrive sur le pf, elle fait ce qu'elle a a faire (nat ou autre), puis passe par le firewall...si tu fait un tcpdump tu as la trame qd elle arrive, si tu fait un tail -f tu as la trame une fois ds le syslog donc passé le firewall...Si tu vois en reel ta trame s"implementé par tcpdump mais rien sur le firewall, alors elle est bloqué...

    Pour moi t interfaces ne se voit pas...mais pourquoi ??? a toi de voir...


Locked