Hallo Leute,
ich habe zwei opnsense installationen auf ovirt durchgeführt. Nun wollte ich Failover mit CARP mal ausprobieren.
Ich hab mich an das Howto aus dem Wiki https://wiki.opnsense.org/manual/how-tos/carp.html (https://wiki.opnsense.org/manual/how-tos/carp.html) gehalten.
und davor noch pfsync eingerichtet, pfsync läuft super.
opnsense läuft wie gesagt unter ovirt. Ich hab hier noch durch gehangelt https://www.netgate.com/docs/pfsense/highavailability/troubleshooting-high-availability-clusters.html (https://www.netgate.com/docs/pfsense/highavailability/troubleshooting-high-availability-clusters.html)
dort steht bei KVM /QEMU das man das ganze mit e1000 Netzwerkkarten machen soll, das habe ich auch gemacht.
Aber sehen sich beide Maschinen als Master.
CARP Interface Virtual IP Status
WAN@1 172.16.0.4 MASTER
LAN@3 192.168.200.252 MASTER
pfSync nodes
24954b38
f64def50
0fb2e091
df0c6acd
und hier der andere
CARP Interface Virtual IP Status
WAN@1 172.16.0.4 MASTER
LAN@3 192.168.200.252 MASTER
pfSync nodes
b33d0cd7
5347f98f
58731d6b
4d1dbddc
5c5aa122
In der Firewall hab ich sowohl auf dem LAN wie auch WAN CARP erlaubt
Proto Source Port Destination Port Gateway Schedule Description
* * * LAN Address 443, 80 * Anti-Lockout Rule
IPv4 * LAN net * * * * Default allow LAN to any rule
IPv6 * LAN net * * * * Default allow LAN IPv6 to any rule
IPv4 CARP * * * * *
Hat das unter ovirt schonmal jemand zum laufen, oder sind da grundsätzlich bekannt?
Danke
shb
CARP generell solltest du nach Möglichkeit immer mit einem dedizierten Interface für SYNC aufbauen, dort alles erlauben (Regeltechnisch) und sicherstellen dass der Sync auch sauber läuft. Dann auf WAN und LAN Seite sicherstellen, dass die Maschinen sich gegenseitig sehen (ping). Das wären schonmal die Basics. Wenn beide auf Master springen ist es die meiste Zeit so, dass sie sich nicht sehen und ggf. per Multicast nichts erkennen und damit beide meinen, sie müssen einspringen (da der Slave die Meldungen des Masters nicht sieht).
Gruß