Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: guenti_r on November 10, 2022, 09:38:52 AM

Title: [SOLVED] OPNSense HA zusätzliche virtuelle IP Alias im LAN funktioniert nicht
Post by: guenti_r on November 10, 2022, 09:38:52 AM
Hallo allerseits,

habe hier ein "klassisches" HA-Setup wie aus dem Lehrbuch.

WAN über Carp ist ein /29 Netz, da funktionieren IP Alias so wie gewünscht.
Aber sobald ich im LAN einen zusätzlichen IP Alias anlege, fällt der Master aus und Backup wird aktiv, aber unstabil.
Ist das normal?
Title: Re: OPNSense HA zusätzliche virtuelle IP Alias im LAN funktioniert nicht
Post by: Patrick M. Hausen on November 10, 2022, 09:53:59 AM
Alias oder CARP-Adresse?
Title: Re: OPNSense HA zusätzliche virtuelle IP Alias im LAN funktioniert nicht
Post by: guenti_r on November 10, 2022, 10:03:39 AM
LAN ist CARP virtual LAN IP -> 192.168.1.1/16
Daher wollte ich einen IP Alias hinzufügen (auf vhid3).

Wie schon erwähnt, WAN-seitig (vhid1) funktioniert das einwandfrei, aber nicht am LAN.
Title: Re: OPNSense HA zusätzliche virtuelle IP Alias im LAN funktioniert nicht
Post by: JeGr on November 10, 2022, 11:07:25 AM
> Daher wollte ich einen IP Alias hinzufügen (auf vhid3).

Nein, wenn du eine zusätzliche IP auf dem LAN willst die redundant ist, muss es entweder ebenfalls eine CARP IP auf dem LAN Interface sein - sonst kann sie ja nicht failovern - oder (was leider AFAIR OPNsense nicht unterstützt in der UI) es wird ein IPAlias auf die vorhandene LAN CARP IP gelegt.

Andernfalls erzeugst du einen Alias der nicht repliziert wird und nur auf dem Master existiert und der bringt deinen Cluster natürlich in Schieflage weil dann auf dem LAN eine zusätzliche IP aber nur auf einem Node aufliegt.

BTW: ein LAN mit /16? Sollte man dringend überdenken.

Cheers
Title: Re: OPNSense HA zusätzliche virtuelle IP Alias im LAN funktioniert nicht
Post by: guenti_r on November 10, 2022, 12:02:26 PM
> Nein, wenn du eine zusätzliche IP auf dem LAN willst die redundant ist,
> muss es entweder ebenfalls eine CARP IP
> auf dem LAN Interface sein - sonst kann sie ja nicht failovern - oder (was leider AFAIR OPNsense nicht
> unterstützt in der UI) es wird ein IPAlias auf die vorhandene LAN CARP IP gelegt.

Ok. Komischerweise funktionieren die Aliases aber WAN-seitig einwandfrei inkl. failover.
Wenn ich zB. einen zusätzlichen anlege, ist er auch sofort an der Backup-FW ersichtlich (und funktioniert auch bei Failover).

> Andernfalls erzeugst du einen Alias der nicht repliziert wird und nur auf dem Master existiert und der bringt
> deinen Cluster natürlich in Schieflage weil dann auf dem LAN eine zusätzliche IP aber nur auf einem Node
> aufliegt.

Siehe oben. Frage mich, warum das LAN-seitig nicht funktioniert.

> BTW: ein LAN mit /16? Sollte man dringend überdenken.

Genau deshalb ja die Übung, musste ein RZ-Netz mit einem Fortigate-Cluster auf OPNSense portieren  :o
Natürlich will ich das /16 weg haben, daher ja meine Eingangsfrage.

Bedeutet, ich muss am LAN eine zusätzliche CARP IP anlegen an der selben physischen NWK?
Muss ich dann eine neue VHID-Gruppe anlegen?
Title: Re: OPNSense HA zusätzliche virtuelle IP Alias im LAN funktioniert nicht
Post by: Patrick M. Hausen on November 10, 2022, 12:05:25 PM
QuoteBedeutet, ich muss am LAN eine zusätzliche CARP IP anlegen an der selben physischen NWK?
Muss ich dann eine neue VHID-Gruppe anlegen?

Ja und ja.
Title: Re: OPNSense HA zusätzliche virtuelle IP Alias im LAN funktioniert nicht
Post by: guenti_r on November 10, 2022, 12:28:58 PM
Quote from: pmhausen on November 10, 2022, 12:05:25 PM
Ja und ja.

Dachte es mir schon, Danke!
Text only | Text with Images