1
German - Deutsch / CARP und LAGG?
« on: April 04, 2017, 05:32:40 pm »
Hallo liebe Mitstreiter
ich habe schon die Sufu bemüht, aber keinen passenden Beitrag gefunden weshalb ich diesen hier eröffne.
Wir bekommen vom ISP redundanten Feed, und diese Redundanz möchte ich bilderbuchmässig von vorne bis hinten (FW's, Switche mit Spanning Tree, Hyper-V's mit NIC Teaming) durchgeben.
Deshalb habe ich vor, 2 Firewalls mit LAGG/CARP sowohl WAN-seitig als auch LAN-seitig einzurichten.
Jede Firewall hat 2 Interfaces für WAN und 2 Interfaces für LAN, welche ich gern LAGGen möchte. Am Schluss sollen die LAGG Interfaces dann noch ein CARP zwischen beiden FW's bekommen.
FW01 LAGG0 --> VIP(WAN) <-- FW02 LAGG0
FW01 LAGG1 --> VIP(LAN) <--- FW02 LAGG1
FW01 IGB4-----> SYNC <--- FW02 IGB4
PFsync geht über ein separates Interface.
Beim Test des Aufbaus gab es jedoch Probleme. FW01 ist MASTER beider CARP's, deaktiviere ich temporär das CARP auf FW01 (simuliere einen Ausfall), übernimmt FW02 den MASTER für beide CARP's. Aktiviere ich CARP auf FW01 wieder, sollte nach einiger Zeit (240 Sekunden?) FW01 wieder zum MASTER werden, jedoch passiert das nicht.
Im Log fand ich dazu: "carp: demoted (pfsync bulk fail)"
Habe nach einiger Recherche ein paar pfSense Threads dazu gefunden, aber so richtig glücklich bin ich damit nicht geworden. Ich möchte ungern ausserhalb des WebGUI mit sysctl irgenwelche zusätzlichen Tunables erstellen.
Jetzt zu meiner Frage: Gibt es dazu eine einfachere Lösung per GUI? Oder vielleicht sogar einen ganz anderen Lösungsansatz?
Ich danke Euch schonmal im Voraus für Eure Hilfe!
LG Chrigu
ich habe schon die Sufu bemüht, aber keinen passenden Beitrag gefunden weshalb ich diesen hier eröffne.
Wir bekommen vom ISP redundanten Feed, und diese Redundanz möchte ich bilderbuchmässig von vorne bis hinten (FW's, Switche mit Spanning Tree, Hyper-V's mit NIC Teaming) durchgeben.
Deshalb habe ich vor, 2 Firewalls mit LAGG/CARP sowohl WAN-seitig als auch LAN-seitig einzurichten.
Jede Firewall hat 2 Interfaces für WAN und 2 Interfaces für LAN, welche ich gern LAGGen möchte. Am Schluss sollen die LAGG Interfaces dann noch ein CARP zwischen beiden FW's bekommen.
FW01 LAGG0 --> VIP(WAN) <-- FW02 LAGG0
FW01 LAGG1 --> VIP(LAN) <--- FW02 LAGG1
FW01 IGB4-----> SYNC <--- FW02 IGB4
PFsync geht über ein separates Interface.
Beim Test des Aufbaus gab es jedoch Probleme. FW01 ist MASTER beider CARP's, deaktiviere ich temporär das CARP auf FW01 (simuliere einen Ausfall), übernimmt FW02 den MASTER für beide CARP's. Aktiviere ich CARP auf FW01 wieder, sollte nach einiger Zeit (240 Sekunden?) FW01 wieder zum MASTER werden, jedoch passiert das nicht.
Im Log fand ich dazu: "carp: demoted (pfsync bulk fail)"
Habe nach einiger Recherche ein paar pfSense Threads dazu gefunden, aber so richtig glücklich bin ich damit nicht geworden. Ich möchte ungern ausserhalb des WebGUI mit sysctl irgenwelche zusätzlichen Tunables erstellen.
Jetzt zu meiner Frage: Gibt es dazu eine einfachere Lösung per GUI? Oder vielleicht sogar einen ganz anderen Lösungsansatz?
Ich danke Euch schonmal im Voraus für Eure Hilfe!
LG Chrigu