NAT auf virtuelle IP von pacemaker/heartbeat
-
Hallo,
zunächst ein par Informationen zu meinem Netzwerk.
Ich habe einen ESXI. Auf diesem habe ich eine VM mit pfsense welche das WAN und LAN verwaltet. im LAN befinden sich zwei Debian Server (C1 und C2) auf denen ich pacemaker und heartbeat installiert habe. Die Server haben alle feste IP-Adressen. pacemaker/heartbeat erzeugt eine weitere virtuelle cluster ip die im Ausfall zwischen C1 und C2 die Daten weiterleitet. Wenn ich per NAT direkt auf einen der Server weiter leite kann ich problemlos über die offenen Ports zugreifen. Wenn ich jedoch auf die virtuelle IP-Adresse weiterleite dann bekomme ich keine Verbindung auf den Ports.
Es liegt nicht an pacemaker oder heartbeat denn wenn ich local von einem anderen Server über die virtuelle ip auf die Ports zugreife funktioniert es.
Hat einer eine Idee und kann mir helfen bin für jeden Tipp dankbar.
Gruß
Sypedian
-
Ahoi,
Es liegt nicht an pacemaker oder heartbeat denn wenn ich local von einem anderen Server über die virtuelle ip auf die Ports zugreife funktioniert es.
Die Aussage ist so nicht ganz korrekt. Es kann durchaus an corosync oder heartbeat liegen, dann nämlich wenn zwar die VIP übernommen wird, aber das Routing falsch ist. Ein Test von lokal sagt hierzu nichts aus, denn der Zugriff ist - Trommelwirbel - lokal, und muss daher nie geroutet werden.
Da du schreibst die pfSense verwaltet den WAN/LAN Zugang vermute ich, du willst den Zugriff vom WAN aus einrichten. Was genau ist hier wo konfiguriert und womit klappt es und womit nicht. Das liest sich bei dir etwas chaotisch, deshalb bitte nochmal - wenn möglich - detaillierter, was klappt, was nicht und von wo aus über welchen Weg. Was ist dabei konfiguriert etc.
Pacemaker & Heartbeat sind an der Stelle soweit ich lese Failover konfiguriert? Dann wird auch nichts "weitergeleitet", sondern Heartbeat schwenkt einfach nur die VIP rüber und Pacemaker startet ggf. die Dienste auf dem zweiten Knoten, wenn sie nicht eh schon laufen. Ansonsten gibt es aber - außer es ist DRBD konfiguriert - keine Kommunikation zwischen C1 & C2. Andernfalls wäre das Setup seltsam.
Ohne Details ist das schwer zu debuggen, ich würde aber fast auf einen Fehler in Richtung Routing, Multicast IP o.ä. tippen.
Gruß
-
Hallo JeGr,
danke für deine schnelle Antwort. ich muss zugeben ich war schon etwas müde. Ich versuche mal das ganze etwas genauer zu erklären und hab auch mal einen groben Netzwerkplan gemacht und auch einen Screen von einer meiner Port Einstellung.
Es ist so wie du beschrieben hast. C1 oder C2 springen gegenseitig ein wenn der andere ausfällt.
Ich möchte jetzt beispielsweise den Port 80 oder auch 443 aus dem Internet aus erreiche. Hierfür habe ich eine Regel erstellt in der ich auf die lokale IP-Adresse verweise. Ich hoffe das sind schonmal ein par mehr Informationen wenn du noch mehr Details wissen willst dann gebe ich dir gerne ausfunkt.
Was muss ich denn genau routen?
Gruß
Sypedian
-
Hallo Sypedian,
du schreibst bislang eben nichts zum Thema "von wo nach wo gibts welche Fehler". Du sagst nur, dass es vom LAN aus geht, was für mein kein wirklich aussagekräftiger Test ist, da lokales Netz nicht geroutet wird.
Die Frage ist eher, haben die beiden Knoten alle das gleiche Gateway, ist das Routing richtig, können die beiden Kisten über die Firewall ins Netz, geht vom aktiven Knoten aus bspw. ein Ping abgehend von der VIP (konfigurierbarer Parameter in Ping) etc.
Das wären mal verschiedene Punkte zum Debugging Anfang :)
-
Super Danke ich werde das alles mal durchtesten und geb dir so schnell wie möglich bescheid
Gruß
Sypedian
-
Guten Morgen,
hat denn die virtuelle IP den 192.168.1.1 als Gateway hinterlegt?