OPNsense Forum

International Forums => German - Deutsch => Topic started by: hmarius1 on March 12, 2019, 08:27:36 am

Title: Active-Active Cluster
Post by: hmarius1 on March 12, 2019, 08:27:36 am

Hallo,

ist ein Active-Active Cluster mit zwei opnsense Firewalls möglich?

Gruß Marius

Title: Re: Active-Active Cluster
Post by: Sven-J on March 12, 2019, 08:28:53 am

Nein!

Opnsense und auch alle anderen Firewalls können nur Active - Backup.

Viele Grüße
Sven-Jendrik

Gesendet von meinem SM-N950F mit Tapatalk

Title: Re: Active-Active Cluster
Post by: hbc on March 12, 2019, 09:28:23 am

Also wenn es nur um Lastverteilung geht, kann man schon etwas tricksen. Eine Möglichkeit wäre eine zweite CARP-Gruppe auf dem Interface. In der Leseprobe zum OPNsense-Praktiker ist es sogar beschrieben:
 
https://der-opnsense-praktiker.github.io/Leseprobe_12carp.pdf (https://der-opnsense-praktiker.github.io/Leseprobe_12carp.pdf) Seite. 174

Wenn Du OPNsense als Proxy nutzt, kannst Du auch primär den Webtraffic über die passive Büchse laufen lassen und den Rest die Hauptmaschine erledigen lassen. Damit dennoch Failover funktioniert nutzt man proxy.pac/wpad.dat und gibt beide Maschinen als Proxy an.

Code: [Select]

function FindProxyForURL(url, host) {
        [...]
return "PROXY passive.example.com:3128, PROXY active.example.com:3128";
}
Allerdings muß man aufgrund dieses Problems https://github.com/opnsense/core/issues/2979 (https://github.com/opnsense/core/issues/2979), die proxy.pac Datei selbst erstellen und kann nicht auf das mitgelieferte GUI-Tool zurückgreifen, denn die Reihenfolge der Proxyeinträge spielt hier ja eine Rolle. Erst auf die passive Box, wenn diese nicht verfügbar, dann auf die aktive.

Wenn Du natürlich überwiegend Webtraffic hast und die Last dann hauptsächlich auf der passiven Box landen würden, dann kann man die proxy.pac natürlich so modifizieren, das z.B. alle gerade IPs auf die eine und die ungeraden auf die andere Maschine gehen. (http://webdebug.net/2014/01/proxy-pac-file-tricks-and-tips/ (http://webdebug.net/2014/01/proxy-pac-file-tricks-and-tips/))

Title: Re: Active-Active Cluster
Post by: JeGr on March 12, 2019, 01:53:00 pm

Das ist aber mit einigem Gefummel verbunden und eine eigene CARP IP auf dem Interface, das dann auf der Standby "aktiv" sein soll, während es auf dem Master "Backup" ist, ist so ohne weiteres mit Bordmitteln nicht vorgesehen und fehleranfällig. Bei CARP auf OpenBSD haben wir das schon gemacht, dort ist aber auch pf und CARP generell in wesentlich neuerer Version vorhanden und kann das per Dokumentation. Ich meine mich aber entsinnen zu können, dass die FreeBSD CARP Implementation das rausgenommen hatte oder zumindest nicht gut konnte. Nicht 100% sicher. Aber gerade bei einem essentiellen Teil eines HA Setups wie CARP würde ich nicht mit irgendwelchen Mitteln "drumrumarbeiten" um sowas zum Laufen zu bekommen. Im Fehlerfalle hat man dann nämlich nur wesentlich mehr Arbeit.

Title: Re: Active-Active Cluster
Post by: hbc on March 12, 2019, 04:00:41 pm

Damit magst Du recht haben (ist hier selbst auch nicht im Einsatz), aber ich wollte es als Möglichkeit die zweite Box mit etwas Arbeit zu beschäftigen, einfach erwähnt haben.

Ich selbst nutze nur die Proxyvariante. Wenn man I-CAP und AV mitnutzt, dann darf die zweite Maschine damit gerne etwas die wirklich aktive entlasten.