OPNsense Forum
International Forums => German - Deutsch => Topic started by: almo on March 26, 2019, 02:52:42 pm
-
Hallo Zusammen,
ich habe zwei baugleiche Server mit genau gleichen Hardware und Netzwerk Ausstattung. Beim HA Sync werden mir aber CARP-IPs und Firewallregeln in die falsche Interface übertragen:
Hier der Aufbau im Detail:
Server 1 - Netzwerkkonfig:
bge0 = MGMLAN - Zugriff auf die WebGui
bge1 = leer
bge2 = leer
bge3 = leer
ixl0 = leer
ixl1 & ixl3 = lagg0 LAN
ixl2 = WAN
ixl4 = pfSync für HA Sync
ixl5 = leer
Server 2 - Netzwerkonfig:
bge0 = MGMLAN - Zugriff auf die WebGui
bge1 = leer
bge2 = leer
bge3 = leer
ixl0 = leer
ixl1 & ixl3 = lagg0 LAN
ixl2 = WAN
ixl4 = pfSync für HA Sync
ixl5 = leer
Wenn ich jetzt auf Server 1 eine Regel im WAN erstelle landet die Regel bei Server 2 in pfSync. Wie kann ich das korrigieren? Die Schnittstellen sind bei beiden Servern 1:1 belegt und 1:1 ausgewählt worden damit es eben auch zu 100 % gleich ist.
-
Update:
Alles was bei Server 1 auf WAN - Konfiguriert ist wird beim HA -Sync auf Server 2 auf die dortige Schnittstelle pfSync angewendet. Wie kann das sein? Wenn doch die Schnittstellen Zuordnung auf beiden OPNens Maschinen gleich ist ? Gibt es irgendwie die Option die OPT-Nummer den Schnittstellen noch an zu passen?
-
> Wenn ich jetzt auf Server 1 eine Regel im WAN erstelle landet die Regel bei Server 2 in pfSync
Das kann/darf gar nicht sein. Hast du die Zuweisungen der Interfaces (WAN/LAN/OPTx) bei beiden Maschinen gleich vorgenommen? Wenn nicht, löschen und alles nochmal sauber von vorn aufsetzen. Die Zuweisung muss identisch sein, so dass OPT1 (Sync) bspw. auch auf beiden Geräten OPT1 (Sync) ist.
> Gibt es irgendwie die Option die OPT-Nummer den Schnittstellen noch an zu passen?
Unter Interfaces / Assignment ist deine Zuweisung von physikalischen auf logische Interfaces bzw. Namen. Dort sicherstellen das alles identisch ist.
-
Siehe Anhang, ich kann es mir nicht erklären. Ich weiß jetzt nicht mehr ob ich alle Interfaces so gesehen gleich angelegt habe aber die Zuordnung ist gleich, das sollte doch auch stimmen oder ?
-
Über den Link links bei den Namen fahren, der Link zum Interface sollte die OPT IDs anzeigen.
-
Server 1:
Schnittstellen: Überblick
LAGINT Schnittstelle (opt1, lagg0)
MGMLAN Schnittstelle (lan, bge0)
WAN Schnittstelle (opt2, ixl2_vlan809)
pfSync Schnittstelle (opt3, ixl4)
Server 2:
Schnittstellen: Überblick
LAGINT Schnittstelle (opt1, lagg0)
MGMLAN Schnittstelle (lan, bge0)
WAN Schnittstelle (wan, ixl2_vlan809)
pfSync Schnittstelle (opt2, ixl4)
Jetzt die Masterfrage wie korrigiere ich bei einem der beiden Server das WAN. Damit das gleich ist. Und es erklärt sich auch wieso beim erstellen auf Server 1 beim Sync auf pfSync übertragen wird. Weil opt2 auf Server 1 bei WAN mit drin steht und bei Server 2 opt2 ganz was anders ist.
Wie kann ich das am einfachsten korrigieren so das es gleich ist? Per Gui oder Shell ?
-
Server 1:
Schnittstellen: Überblick
LAGINT Schnittstelle (opt1, lagg0)
MGMLAN Schnittstelle (lan, bge0)
WAN Schnittstelle (opt2, ixl2_vlan809)
pfSync Schnittstelle (opt3, ixl4)
Server 2:
Schnittstellen: Überblick
LAGINT Schnittstelle (opt1, lagg0)
MGMLAN Schnittstelle (lan, bge0)
WAN Schnittstelle (wan, ixl2_vlan809)
pfSync Schnittstelle (opt2, ixl4)
Jetzt die Masterfrage wie korrigiere ich bei einem der beiden Server das WAN. Damit das gleich ist. Und es erklärt sich auch wieso beim erstellen auf Server 1 beim Sync auf pfSync übertragen wird. Weil opt2 auf Server 1 bei WAN mit drin steht und bei Server 2 opt2 ganz was anders ist.
Wie kann ich das am einfachsten korrigieren so das es gleich ist? Per Gui oder Shell ?
Moin, so blöd es sich anhört, aber auf dem Server alle Interface löschen und step by step neu anlegen, so habe ich das gemacht, ich msuste das für 60vlans machen ;D
Am besten dann auch jedes Interface einzeln Überprüfen.
-
Zusammen gefasst.
Auf Server 2 alle Interfaces bis auf MGMLAN löschen. Danach sollte er ja beim Anlegen der Interface mit opt1, opt2 und opt3 zählen ?
Oder gibt es einen anderen weg irgendwie über Anpassungen auf Shell / Dateiebene aus dem opt2 ixl2_vlan809 ein wan, ixl2_vlan809 zu machen. Und die opt3 dann zu opt2 auf Server 1?
/Think Gut das ich noch keine weiteren VLANs angelegt habe ....
-
Zusammen gefasst.
Auf Server 2 alle Interfaces bis auf MGMLAN löschen. Danach sollte er ja beim Anlegen der Interface mit opt1, opt2 und opt3 zählen ?
Oder gibt es einen anderen weg irgendwie über Anpassungen auf Shell / Dateiebene aus dem opt2 ixl2_vlan809 ein wan, ixl2_vlan809 zu machen. Und die opt3 dann zu opt2 auf Server 1?
/Think Gut das ich noch keine weiteren VLANs angelegt habe ....
LAGINT Schnittstelle (opt1, lagg0)
MGMLAN Schnittstelle (lan, bge0)
Die kannst du beide behalten, sind ja identisch ;)
über CLI muss ich gestehen hab ich es nicht gemacht, da ja opnsense selbst sagt Änderungen am besten nur über die GUI / API
-
Danke für den Support :)
Ich hab auf Server 2 die Schnittstellen soweit gelöscht und passend neu angelegt jetzt läuft auch der HA-Sync.
Jetzt habe ich noch eine Frage hier zu. Ich hab ein VLAN das von meinem Dienstanbieter kommt dort sind meine 50 IP-Adressen für Internetzugang und IPs für NAT zu den Servern drin.
Lege ich jetzt jeder IP für eine NAT von WAN -> zu Server als CARP an ? Oder lege ich die als Virtuelle IP an? Die dann bei Server 2 online gehen wenn der CARP für WAN von Backup auf Master schwenkt ?