Netgate SG-1000 microFirewall

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - MStar

Pages: [1] 2 3
1
Russian / Re: Проблема с CARP
« on: March 21, 2018, 11:57:25 am »
В общем будет "несинхронный" кластер из двух NetGate SG-4860, один - рабочий, другой - зеркало. Питание одно на двоих ;) При сбое откроют серверный шкаф, вынут питание из первого и включат во второй.

2
Russian / Re: Проблема с CARP
« on: March 21, 2018, 04:50:48 am »
Получил исчерпывающийц ответ на общем форуме. Полагаю, многим будет интересно.

To start, your provider is probably not CARP compatible, or it would likely be working.

When it comes to CARP VIPs and ISPs there are two general principles that they must support.

CARP advertisements egress sourced from the CARP MAC address. This performs two tasks:

  • The switch sees the CARP MAC address and adds it to its MAC address table
  • The BACKUP CARP node sees the advertisement and does not switch to MASTER

The ISP, having traffic for the CARP VIP address does an ARP request.

The pfSense WAN responds to the ARP "WHO HAS" from the interface MAC address but says the address IS AT the CARP MAC. This directs traffic from upstream to the CARP VIP to the CARP MAC address which has previously been installed in the switches MAC address table by virtue of the CARP advertisements.

Upstream has to support multiple MAC addresses and multicast for CARP to function. ISP gear does some silly-ass crap. Especially residential gear.

There has to be solid layer 2 between the two CARP nodes and the upstream.

Представители провайдера заявили, что никто не будет менять конфигурацию только для нас. Финиш.

3
CARP/VIPs / Re: Failed to function WAN CARP.
« on: March 20, 2018, 03:22:08 am »
Capturing packets on the WAN interface shows that in the case of WAN CARP type, response packets do not come from the gateway. That is, or the gateway considers them broken because it does not respond, or something else.

To exclude its own error, pfSense was connected by the WAN interface to the local network, where it demonstrated full correctness of operation. Therefore, the problem is only in correctly recognizing the packets from the WAN CARP address by the gateway.

Explain please what is the difference between the packets that are sent from the WAN CARP type address from the packets that are sent from the IP Alias type address? None of my studies do not reveal a difference.

4
CARP/VIPs / Failed to function WAN CARP.
« on: March 19, 2018, 01:45:59 pm »
Greetings to all.

A strange situation with the connection of pfSense in the network of the "Telia" provider, Vilnius. Having installed only the WAN address and creating the WAN CARP, I immediately see that the packets do not pass between the WAN CARP and the default gateway of the WAN network. The check is performed via Diagnostics / Ping. But if you change the virtual address type from "WAN CARP" to "IP Alias", then the connection to the default gateway is instantly restored.

Tell me what kind of trouble happened and how to overcome it.

5
Russian / Re: Проблема с CARP
« on: March 19, 2018, 12:37:20 pm »
Как и предполагалось, техподдержка провайдера на уровне домашних пользователей. "Мы может приехать, установить на своем компьютере ваш IP-адрес и показать, что связь есть". Матка Боска Честерховска! Связь у меня есть, но не во всех вариантах. Что такое "очистить ARP кэш" они не знают, утверждают, что такого у них вообще нет. Даже где взять логи роутера они не знают. И как с ними работать?!

Еще один тест. Подключил к оптическому модему pfSense, после сброса на заводские установки, напрямую. Назначил только адреса WAN и WAN CARP. Последний доступа к шлюзу не имеет. Меняю тип с CARP на Virtual IP и сразу доступ к шлюзу с этого адреса восстанавливается.

6
Russian / Re: Проблема с CARP
« on: March 18, 2018, 06:55:43 am »
Тут https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses описано подробнее.
....
Отличий я не нашёл, за исключением того, что на запрос с WAN CARP не пришло ответа.

Собственно, над этим я и сломался. Из файлов видно, что при изменении  типа виртуального IP на CARP и обратно MAC не меняется!!! Что еще может помешать возвращению ICMP на тот же самый IP на том же самом MAC-e? И до сих пор я был бы уверен, что допустил какую-то ошибку в настройке, если бы не сбросил второй pfSense до заводского состояния и не подключил его WAN в локальную сеть. И тут же получил нормально работающий WAN CARP!

А что из себя представляет рутер? Какие ещё устройства находятся во внешней подсети?

Без понятия, это сторона провайдера. Похоже, что эта /24 сеть распределена на несколько ближайших зданий.

7
Russian / Re: Проблема с CARP
« on: March 17, 2018, 09:11:59 am »
Иногда шлюз или внешний switch может неоперативно обновлять кэш, поэтому, когда всё совсем плохо и неочевидно, я перегружаю и его тоже.

И вы таки были правы, какой-то затык на оборудовании провайдера. С WAN CARP нормально пингуются все адреса кроме провайдерского шлюза! Осталось два критичных вопроса:
1) чем отличаются пакеты, посланные с адреса, объявленного как WAN CARP, и того же адреса, объявленного как Viptual IP?
2) как в понедельник объяснить техподдержке, что проверять и куда смотреть, если простой перезагрузки их шлюза будет не достаточно?

Подключены два файла с содержимым пакетов ICMP request для разного состояния адреса отправителя. Может кто-нибудь сказать, в чем их разница?

8
Russian / Re: Проблема с CARP
« on: March 14, 2018, 09:03:41 am »
У них др. версия пф ? Используйте ее.
Все версии ПО и модели оборудования идентичны.

9
Russian / Re: Проблема с CARP
« on: March 13, 2018, 04:56:18 am »
Такая ситуация ещё может возникать, если указанный IP-адрес уже используется...
Иногда шлюз или внешний switch может неоперативно обновлять кэш, поэтому, когда всё совс Сеем плохо и неочевидно, я перегружаю и его тоже.

Имеющийся в доступе оптический  модем я тоже перезапускаю.
Сейчас после последнего перезапуска прошло 18 Hours 40 Minutes 27 Seconds. А пинги так и не ходят.
И все же мне кажется причина в pfSense, так как пинг сразу восстанавливается стоит лишь убрать адрес из CARP.

10
Russian / Re: Проблема с CARP
« on: March 13, 2018, 04:48:22 am »
Может здесь что-то найдется https://doc.pfsense.org/index.php/CARP_Configuration_Troubleshooting
Увы, все общедоступные материалы уже проработаны.

Похоже, надо анализировать конфигурацию на более низком уровне нежели UI. Можете ли вы подсказать, как искать причину блокирования пакета на передаче или приеме для адреса на WAN интерфейсе, если уже известно, что причина в CARP?

11
Russian / Re: Проблема с CARP
« on: March 13, 2018, 04:28:23 am »
Добрый.

https://vorkbaard.nl/openvpn-in-a-pfsense-carp-cluster/
Взаимно.

Ссылка ценная, информацию сохранил. Но проблемы начинаются ДО OpenVPN. C адреса WAN CARP не проходят ping/pong до шлюза WAN! Равно при включении на него NAT полностью прекращается выход в интернет.
К слову, неделю назад ставился кластер на идентичном оборудовании в другом офисе. Там все работает идеально, без дополнительных настроек в OpenVPN. Возможно разработчики уже учли данную проблему и за 4 месяца информация могла устареть.

12
Russian / Re: Проблема с CARP
« on: March 13, 2018, 02:50:47 am »
Имеется внешняя сеть \24, я имею под управлением 4 адреса из нее .31, .142, .145, и .173. Адреса .142 и .145 назначены WAN-адресами для двух pfSense, .31 был назначен на WAN CARP, .173 был в резерве. Синхронизация кластера прошла успешно, все данные передались, MASTER/BACKUP определяются правильно. Но оказалось, что OpenVPN сервера перестали подключать клиентов. Дальнейшее исследование и показало, что любой адрес, который назначают на WAN CARP блокируется полностью.
Сейчас, для обеспечения работы, адрес .31 объявлен виртуальным IP и все OpenVPN сервера работают через него. Backup файервол пришлось отключить, так как он не останавливает сервера на интерфейсах, отличных от WAN CARP. Адрес .173 сейчас назначен WAN CARP.
C проблемами, лечащимися перезагрузкой, я уже столкнулся и теперь любое действие по изменению конфигурации внешних адресов проверяю перезагрузкой.

13
Russian / Проблема с CARP
« on: March 12, 2018, 11:18:39 am »
Уважаемые коллеги.

Нужна помощь в ликвидации непонятной коллизии. Создан кластер из двух pfSense. Но происходит следующее: любой доступный адрес из WAN, перестает передавать пакеты даже на DG, как только назначается CARP адресом. На остальных интерфейсах CARP адреса работают штатно. В логах пусто.
Может кто сталкивался или понимает, в какую сторону искать.

Version: 2.4.2-RELEASE-p1 (amd64)

14
Russian / Re: Подключение 3-го узла
« on: November 26, 2017, 01:03:09 pm »
Правильный ответ на заданный вопрос: Если в таблице маршрутизации VPN соединения на сервере виден только адрес собственного шлюза, значит не подключилась информация из CSO. Наивероянейшая причина - ошибка в написании канонического имени сертификата пользователя.

15
Russian / Re: Подключение 3-го узла
« on: November 15, 2017, 07:20:48 am »
А я ему и отвечал  ;D
Жалко, что мне никто не вожет ответить! :'(

Pages: [1] 2 3