Topics

1

High availability / Unexpected CARP ARP Reply

« on: October 13, 2023, 09:04:13 am »

Hi there,

I am trying to use Opnsense in OpenStack, which works great with a single instance and no HA. But when I try to add a second instance to use HA with CARP I am never able to use the VIP.

I suspect that the issue is that the arp-reply is always done with the MAC of the Opnsense Node and not with a 00:00:5e... MAC, which will result in a DROP in our OVN SDN. I quickly tested the same with Linux + FRR in containerlab and can see that it does reply with the correct 00:00:5e.. MAC.

Code: [Select]

08:13:33.416505 fa:16:3e:0e:36:1b > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 100.64.56.254 tell 100.64.56.227, length 28
08:13:33.416593 fa:16:3e:61:76:50 > fa:16:3e:0e:36:1b, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Reply 100.64.56.254 is-at 00:00:5e:00:01:01, length 28


Code: [Select]

root@ovn-db1:~# ovn-trace --minimal 'inport == "c9d850ee-a534-4a52-8c16-b866d0a3a6d2"
&& arp.op == 2
&& eth.src == 00:00:5e:00:01:01
&& arp.sha == 00:00:5e:00:01:01

&& eth.dst == fa:16:3e:0e:36:1b
&& arp.tha == fa:16:3e:0e:36:1b

&& arp.spa == 100.64.56.254
&& arp.tpa == 100.64.56.227'
# arp,reg14=0x5,vlan_tci=0x0000,dl_src=00:00:5e:00:01:01,dl_dst=fa:16:3e:0e:36:1b,arp_spa=100.64.56.254,arp_tpa=100.64.56.227,arp_op=2,arp_sha=00:00:5e:00:01:01,arp_tha=fa:16:3e:0e:36:1b
output("84886d");
root@ovn-db1:~# ovn-trace --summary 'inport == "c9d850ee-a534-4a52-8c16-b866d0a3a6d2"
&& arp.op == 2
&& eth.src == fa:16:3e:61:76:50
&& arp.sha == 00:00:5e:00:01:01

&& eth.dst == fa:16:3e:0e:36:1b
&& arp.tha == fa:16:3e:0e:36:1b

&& arp.spa == 100.64.56.254
&& arp.tpa == 100.64.56.227'
# arp,reg14=0x5,vlan_tci=0x0000,dl_src=fa:16:3e:61:76:50,dl_dst=fa:16:3e:0e:36:1b,arp_spa=100.64.56.254,arp_tpa=100.64.56.227,arp_op=2,arp_sha=00:00:5e:00:01:01,arp_tha=fa:16:3e:0e:36:1b
ingress(dp="wan", inport="opnsense1-wan") {
    reg0[15] = check_in_port_sec();
    next;
    drop;
};


Is there anything I can do to make it work, is it expected behavior or a bug? I was not able to find any info on CARP beyond the basic man pages and tutorials on setting it up.

Thanks in advance!

2

German - Deutsch / Teredo Online Services

« on: March 28, 2021, 11:25:54 pm »

Hey,

ich bin langsam wirklich hart am Verzweifeln... Irgendwie bekomme ich das Xbox-Netzwerk nicht zum Laufen. Teredo ist immerzu am Meckern. So wie ich das verstehe, baut Teredo über IPSec mit IPv6 einen Tunnel zu M$ auf, um dann die Online-Svs nutzen zu können.



IPv6 läuft über die Telekom mit PPPoE auch sehr gut mit DHCPv6 auf WAN (denke ich zumindest). Ich habe meinen eigenes /56 Netz (Track Interface), welches ich in 2 kleinere 64er Netze für meine DMZ und mein LAN aufteile. Einmal mit dem Prefix 1 und 2. Wenn ich ping -6 google.de nutze bekomme ich auch ne Antwort von nem IPv6-Server. WieistmeineIP tut auch ne IPv6 Adresse anzeigen.

Ich habe mal geschaut, was die FW blockt und was nicht, aber außer ein Haufen mDNS Anfragen wird kaum was geblockt. Das ist mein Fund:



Ich raffe nicht was da schief läuft und online gibt es dazu auch so ziemlich gar nichts, außer dass es bei vielen nicht läuft, da AVM das auf den FBs standardmäßig blockt. Aber da ich ja keine FB mehr vorgeschaltet habe, ist das ja irrelevant. Windows habe ich ebenfalls bereits neu installiert.

Thx!!

LG