CARP - беспречинные переключения



  • Есть два шлюза под pfsense 2.1-RELEASE  (i386),  объединены в CARP. Периодически случаются переключения без видимых причин. CARP/pfsync вынесен в отдельный VLAN (но на том же физическом интерфейсе, где LAN), нагрузка на процессор, память, сеть и IO низкая, в логах в момент переключения следующее:

    Dec  5 13:17:25 gw01 kernel: opt3_vip4: MASTER -> BACKUP (more frequent advertisement received)
    Dec  5 13:17:25 gw01 kernel: opt3_vip4: link state changed to DOWN
    Dec  5 13:17:25 gw01 kernel: opt1_vip2: MASTER -> BACKUP (more frequent advertisement received)
    Dec  5 13:17:25 gw01 kernel: opt1_vip2: link state changed to DOWN
    Dec  5 13:17:25 gw01 kernel: lan_vip1: MASTER -> BACKUP (more frequent advertisement received)
    Dec  5 13:17:25 gw01 kernel: lan_vip1: link state changed to DOWN
    Dec  5 13:17:25 gw01 php: rc.carpbackup: Stopping OpenVPN instance on opt1_vip2 because of transition to CARP backup.
    Dec  5 13:17:25 gw01 kernel: ovpnc1: link state changed to DOWN
    Dec  5 13:17:25 gw01 check_reload_status: Reloading filter
    Dec  5 13:17:26 gw01 kernel: wan_vip3: MASTER -> BACKUP (more frequent advertisement received)
    Dec  5 13:17:26 gw01 kernel: wan_vip3: link state changed to DOWN
    

    К тому же, иногда случаются ошибки синхронизации конфигурации ("недоступен второй шлюз"). Это случается реже и не совпадает с переключением CARP. Доступность шлюзов мониторится из локальной сети пингом - связь с ними не теряется. Шлюзы стоят на реальном железе, не виртуалки.

    Пытался локализовать проблему: менял местами харды в шлюзах - не помогло, т.е. дело не в сбойном железе на одном из них; выносил CARP/pfsync в тот VLAN, где находится LAN - не помогло.

    Где искать?



  • Эээ. Может CARP в 2.1 как-то изменился ?

    https://doc.pfsense.org/index.php/2.1_New_Features_and_Changes#High_Availability_.28CARP.2C_pfSync.2C_XML-RPC.29

    Removed the automatic pfsync rule, since the documentation always recommends adding it manually, and to add it behind the scenes with no way to block it can be counter-productive (and potentially insecure). If you did not follow the documentation and add your own pfsync or allow all rule on the sync interface, your state synchronization may break after this upgrade. Add an appropriate rule to the sync interface and it will work again.



  • На этом интерфейсе позволены IPv4 PFSYNC, IPv4 CARP и ICMP на все хосты этой подсети. И в принципе CARP работает, но иногда глючит.


Log in to reply