OPNsense Forum
International Forums => German - Deutsch => Topic started by: Wayne Train on January 19, 2017, 10:29:32 am
-
Hallo zusammen.
Vielleicht kann mir jemand kurz Rückmeldung geben, ob mein Vorhaben so zu realisieren ist, oder ob ich einen Denkfehler habe:
Ich würde gerne einen HA-Cluster zusammenbauen. LAN-seitig sollen jeweils 2 NICs zu einem Trunk zusammengefasst werden, auf dem dann die 4 VLANs aufgebaut werden sollen.
Liege ich mit der Annahme richtig, dass ich für jedes VLAN eine VID brauche ?
Also gewissermaßen so:
NIC1+NIC2 --> LAGG-Interface --> VLANs (mit jeweils einer VID)
Falls schon jemand Erfahrungen mit diesem Setup gesammelt hat, wäre es super, wenn er mir ein paar Tipps geben könnte.
Grüße
CS
-
Hi,
also das LAGG konnte ich ganz einfach anlegen, die VLANs ebenso. Diesen habe ich dann als Parent-interface das LAGG zugewiesen. Ein Verständnisproblem habe ich allerdings noch mit den VHIDs und welche IP ich dem eigentlichen LAGG nun zuweisen muss. Für die einzelnen VLANs habe ich bisher noch keine Möglichkeit gesehen ihnen eine IPv4 zuzuweisen.
Oder habe ich was übersehen ?
Hat noch jemand einen Tipp ?
Grüße
cs
-
Ahoi,
auch wenn ich (noch) nicht ganz in der opnSense Welt anheim bin, müsste das wie folgt funktionieren
* LAGG erstellen aus den beiden Interfaces die du bündeln willst -> lagg0 (bspw.)
* VLANs auf dem LAGG0 Interface erstellen
* Schnittstellen / Zuweisung
- vlan x auf lagg0 hinzufügen
- vlan y auf lagg0 hinzufügen
- ... usw.
Das lagg0 Device selbst (also untagged) braucht nicht hinzugefügt werden, es sei denn auf dem Interface ist mit untagged Paketen zu rechnen, was man aber vermeiden sollte (wenn mehrere VLANs tagged auf einem Interface/Bond, dann auch nur tagged).
Sobald die Zuweisung gespeichert ist, kannst du jedes VLAN wie ein "normales" Interface mit eigener Konfig-Seite konfigurieren.
Bei deinem CARP Cluster muss die zweite Maschine natürlich komplett identisch aussehen und auch genauso eingerichtet werden. Die VHIDs (!) sind nicht mit VLAN o.ä. zu verwechseln, die spielen eine ganz andere Rolle. VHIDs müssen lediglich in ihrem Netzsegment (Broadcast Domain) eindeutig sein. Sprich in jedem Netzsegment (deine VLANs, das WAN etc.) darf nur ein HA-Paar mit VHID 42 (bspw.) unterwegs sein, ohne Probleme zu machen. Da die VHID mit dazu herangezogen wird die virtuelle MAC Adresse der CARP VIP zu erstellen würde es sonst Probleme auf ARP Ebene geben. Wenn du aber alle Netzsegmente kontrollierst kannst du auch entspannt bspw. für die CARP VIPs aller verschiedenen VLANs die gleiche VHID nutzen. Es darf wie gesagt nur in diesem Segment kein andere HA Setup mehr die gleiche VHID verwenden.
Grüße
Jens
-
Hey,
eine Frage hätte ich noch: Muss ich Helfer-Adressen für die VIPs anlegen ? Als IP-Alias oder sowas in der Art ?
Du schreibst, dass ich die VLANs dann wie normale Interfaces konfigurieren kann.
Momentan sehe ich das nicht, wenn ich unter "Other Types/VLAN" aufrufe. Da kann ich lediglich ein VLAN Tag angeben und ein Parent Interface wählen. Mehr nicht. Daher vermute ich, dass ich etwas falsch gemacht habe.
Wenn ich mir HA anschauen (über Virtual IPs/Status) können meine Firewalls auch nicht festellen, wer gerade Master für welches Interface ist. Wahrscheinlich gerade aus diesem Grund...
Ich wär dir jedenfalls sehr dankbar, wenn du mir einen Tipp geben könntest.
Danke schonmal.
Gruß
CS
-
Ok,
jetzt habe ich gefunden was du meinstest... Jetzt habe ich nur noch eine Frage: Als "Parent Interface" steht ja mein LAGG zur Verfügung. Auf dem laufen ja alle VLANs. Definiere ich dort gar keine Regeln ? Oder kann ich das Interface vielleicht sogar deaktivieren ? Wenn ich einzelne VLAN-Interfaces habe, definiere ich die Regelen doch sowieso dort. Oder muss das LAGG als Dummy aktiv bleiben und eine eigene IP haben ?
Du hast mir jedenfalls schonmal sehr weitergeholfen.
Beste Grüße
CS
-
>Muss ich Helfer-Adressen für die VIPs anlegen ? Als IP-Alias oder sowas in der Art ?
Nein. Wenn du die VLANs richtig angelegt hast nicht.
> Du schreibst, dass ich die VLANs dann wie normale Interfaces konfigurieren kann.
Richtig,
> Momentan sehe ich das nicht, wenn ich unter "Other Types/VLAN" aufrufe.
> Da kann ich lediglich ein VLAN Tag angeben und ein Parent Interface wählen. Mehr nicht.
Dann hast du nicht gemacht, was ich geschrieben habe:
Hier legst du deine VLAN Tags an. Also die, die du auch auf dem Switch konfigurierst. Bspw. VLAN 10, 20, 30. Also legst du hier VLAN 10 auf lagg0, 20 auf lagg0 und 30 auf lagg0 an. Gibst ihnen sinnvolle Beschreibungen und gut.
> Daher vermute ich, dass ich etwas falsch gemacht habe.
Richtig.
Du hast nicht gemacht was ich geschrieben habe. Unter Interfaces > Assignments müssen die VLAN Tags jetzt als Interface hinzugefügt werden.
"New Interface" -> Pulldown -> Dort deine VLANs auswählen und jedes Mal das + dahinter buzzern bis alle VLANs in der Interface Liste stehen. Dann SAVE.
Anschließend gehst du in jedes neue VLAN Interface (OPTx) rein, schreibst ihm nen schönen Namen und vergibst wie jedem anderen Interface seine IP etc.
> Wenn ich mir HA anschauen (über Virtual IPs/Status) können meine Firewalls auch nicht festellen,
> wer gerade Master für welches Interface ist. Wahrscheinlich gerade aus diesem Grund...
HA ist jetzt noch überhaupt nicht im Spiel. Mach erstmal deine Interfaces sauber. Für CARP muss dazu jedes Interface auch gleich heißen (interne Bezeichnung, also OPTxy), sprich bitte auf jedem CARP Node die GLEICHE REIHENFOLGE einhalten beim Hinzufügen der Interfaces, damit die gleichen OPTx Interface Namen vergeben werden. Das ist wichtig!
> Definiere ich dort (lagg0) gar keine Regeln ?
NEIN, das Lagg ist NUR noch dein physikalisches Trägermedium. Deine VLANs sind die, welche die Musik spielen. Das Lagg selbst (Lagg0) sollte auch überhaupt nicht zugewiesen sein (unter Interfaces > Assign). Das ist unnötig, da es selbst keinen Traffic (untagged) tragen sollte. Eine IP sollte es schon gar nicht besitzen. Wie gesagt, das Lagg ist nur noch Träger, die VLANs sind die Interfaces für Layer 2+ und werden entsprechend konfiguriert.
Grüße
-
Hi,
danke für deine Tipps. Das mit der OPT-Reihenfolge war genau das was ich hinterher hatte. Zuvor hatte ich ein wenig ausprobiert und Interfaces angelegt und gelöscht, ohne das der Cluster sauber lief. Daher hatte ich mir die Reihenfolge ordentlich zerballert.
Letztendlich habe ich die Config im Texteditor dann per Hand überarbeitet und auf dem Failover-Node als Restore geladen und dann ging's. Danke nochmals.
Viele Grüße
CS
-
Sehr gern. Freut mich dass es geholfen hat.