Messages

Server 1:

Schnittstellen: Überblick

LAGINT Schnittstelle (opt1, lagg0)    
MGMLAN Schnittstelle (lan, bge0)
WAN Schnittstelle (opt2, ixl2_vlan809)
pfSync Schnittstelle (opt3, ixl4)

Server 2:

    Schnittstellen: Überblick

LAGINT Schnittstelle (opt1, lagg0)    
MGMLAN Schnittstelle (lan, bge0)
WAN Schnittstelle (wan, ixl2_vlan809)
pfSync Schnittstelle (opt2, ixl4)

Jetzt die Masterfrage wie korrigiere ich bei einem der beiden Server das WAN. Damit das gleich ist. Und es erklärt sich auch wieso beim erstellen auf Server 1 beim Sync auf pfSync übertragen wird. Weil opt2 auf Server 1 bei WAN mit drin steht und bei Server 2 opt2 ganz was anders ist.

Wie kann ich das am einfachsten korrigieren so das es gleich ist? Per Gui oder Shell ?

Moin, so blöd es sich anhört, aber auf dem Server alle Interface löschen und step by step neu anlegen, so habe ich das gemacht, ich msuste das für 60vlans machen ;D

Am besten dann auch jedes Interface einzeln Überprüfen.

Moin,

ähhhhm ich bin ein wenig verwirrt...

Also LAN-A ist euer Admin-Netz - 192.168.10.X da stehen eure Workstations drin um auf LAN-B Install-Netz
- 192.168.15.X zuzugreifen, richtig?

Ihr vergebt nach dem euer Job fertig ist, den Notebooks / Pcs whatever eine IP aus dem Subnetz des Kunden, als Beispiel 10.222.100.X, richtig? Und ihr wollt nach dem Ihr das gemacht habt trotzdem noch auf die Kisten zugreifen können, die eigentlich noch im 192.168.15.x stehen?

Habe ich das so richtig verstanden?

LG
Sven-Jendrik

Moin!

Also irgendwas machst du falsch. Ich habe habe 60 vlans am laufen und habe keine Probleme.

Viele Grüße
Sven-Jendrik

Gesendet von meinem SM-N950F mit Tapatalk

Moin!

Hast du denn auch ne FW Regel auf dem Interface angelegt dass das überhaupt erlaubt ist? Was sagen denn die FW Logs?

Nein!

Opnsense und auch alle anderen Firewalls können nur Active - Backup.

Viele Grüße
Sven-Jendrik

Gesendet von meinem SM-N950F mit Tapatalk

Moin! Du denkst dran das Anfang auch ssh-rsa oder so stehen muss? Und der User muss admin Rechte haben.

Siehe Anhang, so muss das unter dem User aussehen:

Nimm doch nen let's Encrypt certificate auf deiner Firewall.

Gesendet von meinem SM-N950F mit Tapatalk

Musst auch das LAN interface nehmen und standard mäßig is ja deny all aktiv.

Gesendet von meinem SM-N950F mit Tapatalk

Super, das war mir auch neu. Aber du bist jetzt nicht der der den Thread erstellt oder?

Nein er ist mein Super Netzwerker :)

Gesendet von meinem SM-N950F mit Tapatalk

Vlan 3 wird nicht benutzt ist nur für Security Reasons auf jedem Port. Die Firewall benutzt ab vlan10 aufwärts.

Gesendet von meinem SM-N950F mit Tapatalk

No one an Idea? :(

Du hast doch im Post oben von allen Maschinen und Interfaces tcpdumps gemacht .. jetzt müsste man nur noch wissen welche Firewall welche IPs hat, dann kommt man dem vielleicht näher

Moin,

FW01 -> 251 / xxx.xxx.142.179
FW02 -> 252 / xxx.xxx.142.180
CARP -> 254 / xxx.xxx.142.178


Viele Grüße
Sven

Bei dem tcpdump musst du vor jedem Output die lokale IP der Maschine hinschreiben.
Man kann ja nicht wissen ob es das Paket von der eigenen oder entfernten Maschine ist.

Bitte .. nicht an den tunables spielen .. nur weil einer meint das hat ihm geholfen muss es nicht richtig sein. Du kannst es machen, vielleicht geht es dann auch, aber du wirst nie verstehen wieso und weisst dann auch nie warum es überhaupt funktioniert. Nimm dir die Zeit an das betreffende Interface einen separaten Switch zu hängen und beide Firewall dran. Tritt das Problem für dieses IF immer noch auf?

Moin,

naja ich habe keine Möglichkeit das anders zu testen. Laut Logs liegt das halt schon am LACP und wirklich näher kommen tue ich halt auch nicht dem Problem...

Was ich nur weiß es liegt am LACP, nur da drauf möchte ich halt nicht Verzichten. Und sonst habe ich halt keine Ahnung woher ich sonst noch Unterstützung erhalte ausser hier.

LG
Sven-J

Für alle Netze oder muss hier immer für jedes netz ne andere Base genommen werden? VHID ist unterschiedlich. Also vlan10 hat vhid2, freq 1 / 0 bzw. vhid2, freq 1 / 100 auf FW02.

Das sollte alles so passen!

Weiter oben im Thread sind Logs von dir mit:

Feb 18 22:10:07 DEHAM01-FW01 kernel: carp: demoted by 240 to 480 (send error 50 on lagg1_vlan40)

Anscheinend wird wegen diesem "send error 50" das Interface auf den advskew Wert 240 runtergestuft.
Dazu habe ich folgendes gefunden:
https://groups.google.com/forum/#!topic/muc.lists.freebsd.stable/vFkufX8mfDc
Also:
net.inet.carp.senderr_demotion_factor -> 10

Mit LACP habe ich keine Erfahrung, aber das scheint ja die Ursache für die ganze Misere zu sein.

Moin,

hmm das muss ich doch unter System -> Settings -> Tunables -> Add ->
Tunable = net.inet.carp.senderr_demotion_factor
Value = 10

setzen oder?

00:00:00.000000 IP xxx.xxx.142.179 > 224.0.0.18: VRRPv2, Advertisement, vrid 1, prio 240, authtype none, intvl 1s, length 36

Hast du die virtuellen CARP IPs damals händisch auch auf der Backup-Maschine angelegt oder dies der XMLRPC-Sync Funktion überlassen?

prio 240 ist hier seltsam. Der Master sollte Advertisements mit prio 0 versenden.
Wie bei den Virtual IP Settings bei "Advertising Frequency: Base" angegeben.

Auf dem Master sollten alle virtuellen CARP IPs mit "Advertising Frequency: Base 1, Skew 0"
und auf der Backup Maschine mit "Base 1, Skew 100" konfiguriert sein!
Überprüf das mal.

Zusätzlich könntest du bei "Disable preempt" den Haken auf beiden Maschinen entfernen falls du ihn gesetzt hast.

Wenn es dann immer noch Probleme gibt mal beide Maschinen rebooten.

Huhu,

danke erstmal!

Also FW01:

Advertising Frequency Base 1, Skew 0

FW02:

Advertising Frequency Base 1, Skew 100

Für alle Netze oder muss hier immer für jedes netz ne andere Base genommen werden? VHID ist unterschiedlich. Also vlan10 hat vhid2, freq 1 / 0 bzw. vhid2, freq 1 / 100 auf FW02.

disable preempt ist der haken nicht gesetzt auf beiden. 

Reboot habe ich schon die ganze Zeit gemacht... Nach nem reboot ist dann einfach Chaos.

die CARP Ips hat XMLRPC übertragen, ich habe nur in jedem Netz halt auf jedem Host ne IP erstellt

FW01 -> 251
FW02 -> 252
CARP -> 254

LG
Sven