State Sync
-
Hallo,
Ich betreibe mit der pfsense 2 Firewalls und seit dem update auf die 1.2 RC4 / Final ist mir aufgefallen das die States auf dem Master und dem Slave etwas sehr auseinander liegen
Master:
State table size: 1621/10000Slave:
State table size: 3382/10000Ich weiss nicht ob das auch früher schon war .. es ist mir jetzt erst aufgefallen da der Slave irgendwann nicht mehr Erreichbar war weil die States voll waren :(
kann mir da jemand helfen?
Gruss & Danke
Jens
-
Master/Slave-Zustand beider System sieht sauber aus? Wie ist das Syncinterface beider Systeme miteinander verbunden? Firewallrules passen um pfSync auch auf beiden Systemen zu erlauben?
-
Jupps zustand sehn auf beiden Pfsensen gut aus… es passt nun auch alles...
Ich hab gestern alle Pfsensen auf 1.2 Final geupdatet und seit dem sieht das Syncen wieder besser aus!
kann es sein das die versionen sich untereinander nicht sooo ganz verstehn?
-
Nur wenn sie sehr unterschiedlich sind vielleicht (z.B. eine 1.0.1 mit einer 1.2 zusammen). Sonst sollte es eigentlich nicht sein.
-
Hm ok… werden die state die gesynct werden erst nach einiger zeit auf dem Slave gekillt? weil ich hab nun auch wieder auf dem Master 1700 States und auf dem Slave 3102 States .. und da sind wenn ich das richtig erkennen kann viele alte states bei!
-
States werden synchron auf Master und Slave erzeugt und gelöscht. So die Theorie ;) Es werden natürlich nur die States der CARP IPs gesynced so viel ich weiß, also wenn ein System eigene States hat über seine tatsächliche IP werden die nicht synchronisiert. Vielleicht liegt da die Ursache? Benutzt irgendein Client die reale IP als Gateway statt der CARP IP?
-
Also es geht eigentlich keiner auf die Normalen IP´s bis auf die pfsense https connecten natürlich!
Aber dann müssten ja auch wenn das so wäre mehr states auf dem Master sein als auf dem Slave oder seh ich das falsch?
-
Mittlwerweile bin ich nun bei 4000 States auf dem slave…. versteh ich nicht!
-
diagnostics>states. Schau doch mal, wo die überhaupt alle herkommen?
-
Also das sind auch sync states drine von nicht Carp IPs …. ganz ganz viele states die garnicht mehr akiv sind auf dem Master.....
nun sind es um die 7000 States.....
Es sind z.b. auch die connecten auf den pfsense Webserver die da gesync sind und nich mehr weg gehn!
-
Ist das nen problem das der Slave im Sync peer IP seinen Master drine stehn hat?!?
Master 10.10.10.2
Slave 10.10.10.3Master synct auf 10.10.10.3
Slave synct auf 10.10.10.2 -
Oh ja! Das ist ein Riesenproblem! Ein Wunder, daß das überhaupt noch läuft und noch nicht in die Luft gegangen ist! Du hast einen Config-Sync-Loop gebaut:
Master synct auf Slave, Slave auf Master auf Slave auf Master…..
Du darfst nur auf dem Master eine Sync IP angeben (es sei denn der Slave hat einen 2. Slave, der als 3. Backupsystem bereitstehen soll ala Master->Slave1->Slave2). Der Synchaken muß gesetzt sein am Slave, aber du darfst keine Sync IP eintragen.
-
Lustig das das erst mal hoch ging… Wir hatten bis zum Update auf 1.2 damit nie probleme!
Ich machs mal aus!
meld mich noch mal obs hilft!
Danke erst mal!
-
Hallo :(
das hat leider nicht geholfen!
Master: 1235 States
Slave: 7187 Statesund davon sehr sehr viele alte …
-
Hallo noch mal…
Es hat leider nichts gebracht.. ich hab die IP´s rausgenommen und neu gestartet....
Nun habe ich:
Master 1760
Slave 13466Er löscht die alten States nicht raus.....
Weiss Jemand noch einen Rat?
-
wie hast du denn die interfaces verbunden, crossover mit eigenem netz, oder habe ich das überlesen?
Ich habe mal auf einem meiner cluster nachgeschaut, beides 1.2release und die states sind gleich…..
Gruß
Heiko -
Hi!
Ich habe hier 2 * 2 Stehn als Pärchen jewalls
Paar 1:
Eigenes Sync Interface über Switcht angebuden mit seperatem VLANPaar 2:
Kein eignes Interface wird über LAN Interface Gesynct
Das einzigste was mir noch einfallen würde wäre das beim update was schief gegangen ist..
Hast du die pfsensen bei dir komplett neu installiert oder von irgendeiner Version hoch geupdatet?
-
Hallo,
diesen Cluster habe ich gestern von 1.2 testing snaphot vom September upgedatet. Ich verwende bei 2 Maschinen immer diesselbe Konfig.jeweils eigenes sync Interface mit einem 192.168.201.1/30 Netz und crossover, damit mir da nix in die Quere kommt. Läuft!
Gruß
Heiko -
Es scheint mir sehr seltsam zu sein, daß er die Stateinserts mitkriegt, aber nicht die Stateresets. Ist das gleiche Protokol, die gleichen Broadcasts, nur anderer Inhalt. Ich bin gerade etwas ahnungslos… ???
-
sagen die logs denn, dass "xml sucessfully" vom Master auf den Client gesynct hat…, schau mal in den logs auf dem master
-
Ja… er synct alles wunderbar.. bis auf die States..... daher auch meine sehr grosses fragenzeichen über mein kopf!
Ich habe die Firewalls von 1.2 RC3 auf RC4 und dann auf die Final geupdatet... vll. zu viele updates?
Ich glaub ich werde die Firewalls mal neu Installieren und dann mal schauen was da los ist....
-
Ich habe alle Firewalls nun noch mal neu installiert und das backup file wieder eingespielt
leider hatte das auch kein erfolg…
Beide dem einem Firewall Paar habe ich das Sync interface mal per Cross kabel verbunden.. aber auch kein verfolg...
Ich weiss nicht mehr so recht was ich machen soll :(
-
hat sonst keiner dieses problem?
ich hatte gerade auf dem slave 30000 states… und auf dem master nur 2000...
-
mich würde interessieren, was paasiert, wenn du den master abschaltest
-
also als ich am wochenende den master neu installiert habe hat der slave ohne probleme übernommen…. wenn ich den abschalte wenn der stat table voll ist kann man sich ja dann glaube ich denken!
-
was sagen mir eigentlich
pfSync nodes:
????
-
weiss das keiner?
-
Jedes Clustermitglied generiert für die pfsync broadcasts eine eigene ID, mit der die Broadcasts geschickt werden. Das zeigt nur an, wieviele pfsyncnodes in der letzten Zeit aktiv waren. Diese ID wird beim Booten per Zufall generiert. Nach einem Reboot sieht man also temporär mehr als die tatsächlich onlinebefindlichen System (alte ID des rebooteten Systems und neue ID). Das sortiert sich aber nach einer Weile aus, wenn eine ID längere Zeit nichts mehr gesendet hat soweit ich weiß.
-
aber ich kann nicht sehn welche ID zu welchem Rechner gehört?
was mache ich den wenn ich nach einer "weile" (24stunden) immer noch 5 ID´s auf dem slave habe?
kann ich auf dem system sehn welche ID der aktuell gesetzt hat?