International Support > Deutsch

Probleme mit CARP Status

(1/2) > >>

schnaepper:
Hallo zusammen,

Wir haben bei uns 2 PFSense im HA Cluster laufen unter der Version 2.4.2-p1 es läuft soweit auch alles stabil und das Failover funktioniert auch soweit Ohne Probleme. Da nun ein weiters Netz bei uns dazu gekommen ist in dem unsere Abfüllmaschinen stehen sollen habe ich auf dem Master wie auch auf dem Slafe das Interface Opt3 als Maschinennetz definiert. Dem Interface auf dem Master habe ich die xxx.xxx.123.13 /24 und dem Interface des Slave die Adresse xxx.xxx.123.14 /24 gegeben. Im nächsten Schritt habe ich dann Auf dem Master eine Virtuelle IP angelegt, diese lautet xxx.xxx.123.12 /24 speichere ich die Virtuelle IP wie gewünscht automatisch an den Slave sank eingerichtetem XMLRPC Sync Synchronisiert. Soweit so gut jetzt kommt jedoch das Problem. Schaue ich auf dem Master ist das Interface als Master definiert. Auf dem Slave erscheint dieses im gegensatz zu den anderen bereits vorhandenen Netzen ebenfalls als Master. Nach etwas rechereche im Internet habe ich dann herausgefunden dass die beiden Werte inter der Update Frequenz bestimmen welches Gerät Master und welches Slave spielt. Die Werte sind wie bei den Funktionierenden Auf dem Master bei 1 und 0 auf dem Slave bei 1 und 100. Ein ändern der Werte brachte keine Veränderung an der Situation. Auch ein kompletter Shutdown der beiden Firewalls brachte keinen erfolg an dem Problem.

Die Beiden PFSense laufen auf folgender Hardware: AR Infotek 5020
Es sind auf der PFSense keien VLANs angelegt.

Insgesamt sind 11 funktionierende Virtuelle IPs eingerichtet die auch Problemlos funktionieren nur eben die neu dazu gekommene 12. Virtuelle IP Adresse funktioniert nicht.

Ich hoffe mir kann bei dem Thema jemand auf die Sprünge helfen damit ich dieses "Projekt" nun auch abschließen kann.
Danke bereits jetzt schon einmal für das durchlesen meines Problems.
Sollten noch Informationen über das Problem fehlen bitte Bescheid geben damit ich diese nachreichen kann.

Gruß
schnaepper

viragomann:
Hallo!


--- Quote from: schnaepper on February 09, 2018, 01:29:09 am ---Insgesamt sind 11 funktionierende Virtuelle IPs eingerichtet die auch Problemlos funktionieren nur eben die neu dazu gekommene 12. Virtuelle IP Adresse funktioniert nicht.

--- End quote ---
Hat die Hardware so viele Netzwerk-Schnittstellen oder liegen da mehrere auf einer?

Ursache für den Problem ist oft, dass Master und Slave am jeweiligen Interface nicht über das VRP Protokoll kommunizieren können.
Die Firewall-Regel an den Interfaces auf beiden Seiten gesetzt?

schnaepper:
Hallo Viragomann,


--- Quote ---Hat die Hardware so viele Netzwerk-Schnittstellen oder liegen da mehrere auf einer?
--- End quote ---
es sind mehrer Virtuelle IPs auf dem WAN Inteface angelgt.


--- Quote ---Ursache für den Problem ist oft, dass Master und Slave am jeweiligen Interface nicht über das VRP Protokoll kommunizieren können.
Die Firewall-Regel an den Interfaces auf beiden Seiten gesetzt?
--- End quote ---
Welche Regeln meinst du genau? Auf dem entsprechenden Interface sind noch keine Regeln angelegt. Auf den Funktionierenden habe ich jetz aber keine Regel gefunden die dem Entsprechen würde. Zudem gibt es unter den Regeln auch kein VRP Protokoll zum auswählen.
Wäre nett von dir wenn du mir genauer erläutern könntest was du genau damit meinst.

JeGr:
> Insgesamt sind 11 funktionierende Virtuelle IPs eingerichtet die auch Problemlos funktionieren nur eben die neu dazu gekommene 12. Virtuelle IP Adresse funktioniert nicht.

Kannst du bitte ausführen, wie die wo und in welcher Art konfiguriert sind, wenn da keine VLANs im Spiel sind? Da ich zur Hardware keine Infos sehe/finde ist das sonst schwer zu erkennen. Ein Single SplitBrain kommt aber meist daher, wenn sich Master und Slave auf dem Interface nicht sehen oder nicht korrekt kommunizieren können. Also meist eher ein Layer2/3 Problem an dem Interface.

viragomann:

--- Quote from: schnaepper on February 09, 2018, 05:11:38 am ---es sind mehrer Virtuelle IPs auf dem WAN Inteface angelgt.

--- End quote ---
Mehrere CARP am WAN? Das sorgt doch für unnötige Netzlast. 1 CARP-VIP reicht, die übrigen können IP Aliases sein.

Nein, das mit der Regel war ein Irrtum. Das wäre in der pfSense das CARP Protokoll, eine entsprechende (unsichtbare) Regel wird aber automatisch gesetzt, wenn auf einem Interface eine CARP-VIP eingerichtet wird.

Wie erwähnt, stelle sicher, dass die beiden OPT3 Interfaces miteinander kommunizieren können. Die VRRP-Pakete kannst du auch mit Paket Capture an den jeweiligen Interfaces überprüfen.

Auch sollten den beiden OPT3 Interfaces der selbe Hardware-Netzwerkport (Treiber) zugrunde liegen, also auf beiden bspw. re2.

Navigation

[0] Message Index

[#] Next page

Go to full version