State Sync

jremme

Hallo,

Ich betreibe mit der pfsense 2 Firewalls und seit dem update auf die 1.2 RC4 / Final ist mir aufgefallen das die States auf dem Master und dem Slave etwas sehr auseinander liegen

Master:
State table size: 1621/10000

Slave:
State table size: 3382/10000

Ich weiss nicht ob das auch früher schon war .. es ist mir jetzt erst aufgefallen da der Slave irgendwann nicht mehr Erreichbar war weil die States voll waren :(

kann mir da jemand helfen?

Gruss & Danke

Jens

hoba

Master/Slave-Zustand beider System sieht sauber aus? Wie ist das Syncinterface beider Systeme miteinander verbunden? Firewallrules passen um pfSync auch auf beiden Systemen zu erlauben?

jremme

Jupps zustand sehn auf beiden Pfsensen gut aus… es passt nun auch alles...

Ich hab gestern alle Pfsensen auf 1.2 Final geupdatet und seit dem sieht das Syncen wieder besser aus!

kann es sein das die versionen sich untereinander nicht sooo ganz verstehn?

hoba

Nur wenn sie sehr unterschiedlich sind vielleicht (z.B. eine 1.0.1 mit einer 1.2 zusammen). Sonst sollte es eigentlich nicht sein.

jremme

Hm ok… werden die state die gesynct werden erst nach einiger zeit auf dem Slave gekillt? weil ich hab nun auch wieder auf dem Master 1700 States und auf dem Slave 3102 States .. und da sind wenn ich das richtig erkennen kann viele alte states bei!

hoba

States werden synchron auf Master und Slave erzeugt und gelöscht. So die Theorie  ;) Es werden natürlich nur die States der CARP IPs gesynced so viel ich weiß, also wenn ein System eigene States hat über seine tatsächliche IP werden die nicht synchronisiert. Vielleicht liegt da die Ursache? Benutzt irgendein Client die reale IP als Gateway statt der CARP IP?

jremme

Also es geht eigentlich keiner auf die Normalen IP´s bis auf die pfsense https connecten natürlich!

Aber dann müssten ja auch wenn das so wäre mehr states auf dem Master sein als auf dem Slave oder seh ich das falsch?

jremme

Mittlwerweile bin ich nun bei 4000 States auf dem slave…. versteh ich nicht!

hoba

diagnostics>states. Schau doch mal, wo die überhaupt alle herkommen?

jremme

Also das sind auch sync states drine von nicht Carp IPs ….  ganz ganz viele states die garnicht mehr akiv sind auf dem Master.....

nun sind es um die 7000 States.....

Es sind z.b. auch die connecten auf den pfsense Webserver die da gesync sind und nich mehr weg gehn!

jremme

Ist das nen problem das der Slave im Sync peer IP seinen Master drine stehn hat?!?

Master 10.10.10.2
Slave 10.10.10.3

Master synct auf 10.10.10.3
Slave synct auf 10.10.10.2

hoba

Oh ja! Das ist ein Riesenproblem! Ein Wunder, daß das überhaupt noch läuft und noch nicht in die Luft gegangen ist! Du hast einen Config-Sync-Loop gebaut:

Master synct auf Slave, Slave auf Master auf Slave auf Master…..

Du darfst nur auf dem Master eine Sync IP angeben (es sei denn der Slave hat einen 2. Slave, der als 3. Backupsystem bereitstehen soll ala Master->Slave1->Slave2). Der Synchaken muß gesetzt sein am Slave, aber du darfst keine Sync IP eintragen.

jremme

Lustig das das erst mal hoch ging… Wir hatten bis zum Update auf 1.2 damit nie probleme!

Ich machs mal aus!

meld mich noch mal obs hilft!

Danke erst mal!

jremme

Hallo :(

das hat leider nicht geholfen!

Master: 1235 States
Slave: 7187 States

und davon sehr sehr viele alte …

jremme

Hallo noch mal…

Es hat leider nichts gebracht.. ich hab die IP´s rausgenommen und neu gestartet....

Nun habe ich:

Master 1760
Slave 13466

Er löscht die alten States nicht raus.....

Weiss Jemand noch einen Rat?

heiko

wie hast du denn die interfaces verbunden, crossover mit eigenem netz, oder habe ich das überlesen?

Ich habe mal auf einem meiner cluster nachgeschaut, beides 1.2release und die states sind gleich…..

Gruß
Heiko

jremme

Hi!

Ich habe hier 2 * 2 Stehn als Pärchen jewalls

Paar 1:
Eigenes Sync Interface über Switcht angebuden mit seperatem VLAN

Paar 2:

Kein eignes Interface wird über LAN Interface Gesynct

Das einzigste was mir noch einfallen würde wäre das beim update was schief gegangen ist..

Hast du die pfsensen bei dir komplett neu installiert oder von irgendeiner Version hoch geupdatet?

heiko

Hallo,
diesen Cluster habe ich gestern von 1.2 testing snaphot vom September upgedatet. Ich verwende bei 2 Maschinen immer diesselbe Konfig.

jeweils eigenes sync Interface mit einem 192.168.201.1/30 Netz und crossover, damit mir da nix in die Quere kommt. Läuft!

Gruß
Heiko

hoba

Es scheint mir sehr seltsam zu sein, daß er die Stateinserts mitkriegt, aber nicht die Stateresets. Ist das gleiche Protokol, die gleichen Broadcasts, nur anderer Inhalt. Ich bin gerade etwas ahnungslos…  ???

heiko

sagen die logs denn, dass "xml sucessfully" vom Master auf den Client gesynct hat…, schau mal in den logs auf dem master