Servus,
funktioniert das CARP-Failover auf opnsense inkl. aller Pakete wie Zenarmor / Squid / VPN etc oder gibt's da irgenwelche Einschränkungen? Sprich: Ist das Failover-Cluster tatsächlich ein vollständiger Ersatz oder nur partiell?
Danke und Grüße
Wie du das Konfigurierts steht im Manual.
Es geht ja nicht so sehr ums Wie. Es geht darum: gibts was, was nicht failover-fähig ist? ;-)
Kommt wahrscheinlich drauf an, wie komplex das Setup ist. Mir ist bisher nur aufgefallen, dass Captive Portal Sessions nicht gesynct werden. Beim Failover fliegt die Verbindung raus und man muss sich neu einloggen, damit der Traffic wieder durchkommt.
Das musst du dir bei jedem Paket einzeln angucken, wie es am besten ist.
CARP wirft nur die IP-Adresse von einem Host auf den anderen.
Beispiel OpenVPN Server:
- auf dem Primary den Server einrichten
- Config-Sync per XMLRPC für OpenVPN aktivieren
- inbound NAT Regel - CARP Address: 1194 --> 127.0.0.1:1194
- auf den Clients die CARP Adresse konfigurieren
Das sorgt dafür, dass nur der aktive Node Verbindungen bekommt und durch das NAT haben die Antwort-Pakete auch wieder die richtige Source IP, nämlich die CARP VIP.
Beim Failover fliegen natürlich alle Sitzungen weg, aber Clients wie Tunnelblick oder Viscosity bauen den Tunnel ja automatisch wieder auf.
Das ist alles eher "rustikal" gestrickt - der Trick mit dem NAT funktioniert bei vielen Anwendungen.