Show Posts
1
German - Deutsch / OPNSense HA -> Apply Changes dauert bis zu 60 Sekunden
« on: April 19, 2017, 05:31:09 pm »
Hallo zusammen,
ich habe zwei virtuelle OPNSense unter vsphere 6.0 am laufen. Beide OPNSense laufen im HA Verbund. Nach VMware vSwitch Aktivierung von Promiscuous funktioniert auch CARP und die Bereitstellung der Virtuellen IP`s ohne Probleme.
Solange ich beide OPNSense Firewalls auf dem gleichen VMware Host betreibe verhaltet sich der HA Cluster einwandfrei. Einstellungen an der der Primären Firewall z.B. Änderungen der Firewallregeln werden in ca. 1 Sekunde an den redundanten Partner übergeben. Der Failover funktioniert ohne oder mit max. einem Pingverlust.
Wird nun eine der beiden Firewalls auf den zweiten Host verschoben gibt es Probleme beim HA Abgleich von Konfigurationsänderungen. Die gleichen Firewall Regeländerungen die zuvor ca. 1 Sekunde benötigen dauern nur bis zu 60 Sekunden. Genauer gesagt nur die Rückmeldung im Webbrowser, die eigentliche Einstellung ist nach ca. 5-10 Sekunden durch.
Aus meiner Sicht handelt es sich um ein Problem mit CARP wenn CARP den vSwitch verlässt über Physik zu einem anderen vSwitch geleitet wird und dort ankommt. Solange CARP innerhalb von einem vSwitch gehalten wird ist alles ok. Inzwischen wurde die Redundanzverbindung zwischen den Host Servern ohne physischem Switch direkt verbunden. Auch dies bewirkt keine Besserung. Der eigentliche Firewall Failover usw. funktioniert ohne Probleme.
Bitte um kurzes Feedback ob jemanden das Problem bekannt ist.
Danke vielmals
ITKOA
ich habe zwei virtuelle OPNSense unter vsphere 6.0 am laufen. Beide OPNSense laufen im HA Verbund. Nach VMware vSwitch Aktivierung von Promiscuous funktioniert auch CARP und die Bereitstellung der Virtuellen IP`s ohne Probleme.
Solange ich beide OPNSense Firewalls auf dem gleichen VMware Host betreibe verhaltet sich der HA Cluster einwandfrei. Einstellungen an der der Primären Firewall z.B. Änderungen der Firewallregeln werden in ca. 1 Sekunde an den redundanten Partner übergeben. Der Failover funktioniert ohne oder mit max. einem Pingverlust.
Wird nun eine der beiden Firewalls auf den zweiten Host verschoben gibt es Probleme beim HA Abgleich von Konfigurationsänderungen. Die gleichen Firewall Regeländerungen die zuvor ca. 1 Sekunde benötigen dauern nur bis zu 60 Sekunden. Genauer gesagt nur die Rückmeldung im Webbrowser, die eigentliche Einstellung ist nach ca. 5-10 Sekunden durch.
Aus meiner Sicht handelt es sich um ein Problem mit CARP wenn CARP den vSwitch verlässt über Physik zu einem anderen vSwitch geleitet wird und dort ankommt. Solange CARP innerhalb von einem vSwitch gehalten wird ist alles ok. Inzwischen wurde die Redundanzverbindung zwischen den Host Servern ohne physischem Switch direkt verbunden. Auch dies bewirkt keine Besserung. Der eigentliche Firewall Failover usw. funktioniert ohne Probleme.
Bitte um kurzes Feedback ob jemanden das Problem bekannt ist.
Danke vielmals
ITKOA