OPNsense Forum

International Forums => German - Deutsch => Topic started by: superwinni2 on April 26, 2023, 06:40:59 pm

Title: HA Setup / Backup FW bekommt ARP Eintrag?
Post by: superwinni2 on April 26, 2023, 06:40:59 pm

Hallo zusammen


vielleicht kann sich von euch jemand einen Reim auf folgende Situation machen:
Ich habe 2 OPNsense Firewalls im Einsatz als HA Setup.
Habe dies bereits seit einigen Monaten in der Konstellation laufen. Es wurden die CARP IPs sauber ausgehandelt und so weiter.
Die HauptFW war immer Master und der Slave immer Backup.
Die HauptFW ist virtualisiert (ProxMox), die Backup ist auf Blech. Eigentlich ist geplant die FW komplett aufs Blech zu bekommen... Bei 24/7 Betrieb und vielen Projekten musste dies bisher hinten anstehen.
Da die Interfaces auf Hardwareebene nicht gleich heißen brechen die TCP Streams unter anderem ab. Dies ist bewusst sollte aber auch nichts ausmachen.


Nun zu meinem Problem:
Seit einigen Tagen habe ich nun jedoch das Problem, dass auf dem CoreSwitch die ARP Tabelle sagt, dass die CARP LAN Adresse zur BackupFW gehört und nicht wie bisher der HauptFW. Hierdurch klappt dann natürlich das Routing nicht sauber und ich habe keinen Zugriff ins Internet bzw auf das was durch die FW geht.
Es wurde nichts an der Netzwerkkonstellation geändert. Keine Switch Änderung, nichts an der FW verstellt oder ähnliches.
Die BackupFW sagt weiterhin, dass die CARP IPs im Backup Status sind.


Habe nun vorrübergehend die BackupFW ausgeschalten. Zwar nicht schön aber erstmal funktionabel bis ich eine Idee habe wie ich den Fehler eingrenzen könnte...



Jemand eine Idee zu dem Thema?

Title: Re: HA Setup / Backup FW bekommt ARP Eintrag?
Post by: JeGr on May 04, 2023, 03:41:27 pm

Hi,

kann man so ohne weiteres nicht sagen. Entweder gibts nen Fehler/Problem im CARP Setup oder der Core Switch hat ne Meise (oder hält seinen ARP Cache zu lange fest) oder hat ggf. ein Problem. Der Core ist nicht zufällig auch redundant ein Cluster?

Cheers

Title: Re: HA Setup / Backup FW bekommt ARP Eintrag?
Post by: superwinni2 on May 04, 2023, 03:51:25 pm

Hi


Core ist ebenfalls ein gestacktes Cluster.
Habe aber glaub bereits den Fehler gefunden... Ich vermute, dass entweder beim Update auf 23.1.6 oder während des Betriebes (Fehler ist erst einige Tage nach Update aufgetreten) irgendwas auf der Platte schief gelaufen ist und die OPNsense sich mächtig verschluckt hat.
Habe die OPNsense noch ein paar Mal hoch und runter fahren können und irgendwann kam das Logo von FreeBSD statt OPNsense und danach wollte sie nicht mehr.


Habe daher das Teil gelöscht, eine weitere Hardware mithilfe des XML Backups hochgezogen und nun läuft das Cluster erstmal wieder stabil.

Title: Re: HA Setup / Backup FW bekommt ARP Eintrag?
Post by: JeGr on May 04, 2023, 05:01:13 pm

> Habe daher das Teil gelöscht, eine weitere Hardware mithilfe des XML Backups hochgezogen und nun läuft das Cluster erstmal wieder stabil.

Ah fein. Hätte bei Switch Stack sonst geraten, dass die ggf. auch VRRP/HSRP sprechen und du einen VHID Konflikt mit den Kisten hast. Hatten wir im RZ auch schon, da tauchen dann plötzlich die fiesesten schlecht debugbaren Probleme auf.

Darum aufpassen bei mehreren Clustern im gleichen Netzwerksegment mit der VHID!

Cheers :)