Quote from: JeGr on Today at 09:59:05 AMQuoteIPSec Tunnels die eingerichtet sind, werden sowohl auf der Master Node als auch auf der Backup Node aktiviert.
Wenn IPsec tatsächlich auf der VIP konfiguriert ist, wäre das ein Fehlverhalten. Wie ist IPsec eingerichtet? Mit der neuen Connections Methode oder eine alte Service-Konfiguration? Eventuell könnte das beim neuen Connections-Setup dann ein Fehler sein, müsste man einmal nachstellen.
Quote from: Alexander.P on November 07, 2025, 11:04:28 AMJedes vLAN Interface hat auf beiden Nodes eine Separate IP
Node1 10.x.x.251
Node2 10.x.x.252
CARP IP 10.x.x.1
Ist bei jedem Netz etwas anders da die Netze mal kleiner mal größer als /24 sind.
Quote from: Alexander.P on November 07, 2025, 11:04:28 AMConfig sync getestet, und festgestellt das nicht alles übertragen wird. Einige Setting´s müssen manuell auf der Backup Node gemacht werden.
Ok nicht schön aber ist halt so.
Quote from: Alexander.P on November 07, 2025, 11:04:28 AMJetzt ist mir beim weiteren einrichten und nach 3 Monaten betrieb aufgefallen.
Wenn die Backup Node übernimmt, wird die Session Tabelle nicht mehr auf die Master Node übertragen.
Sie schaltet einfach zurück.
Und die Master Node blockt dann erst mal jeglichen Taffic da sie keine Sitzung dazu kennt.
Quote from: Alexander.P on November 07, 2025, 11:04:28 AMIPSec Tunnels die eingerichtet sind, werden sowohl auf der Master Node als auch auf der Backup Node aktiviert.
Quote from: Alexander.P on November 07, 2025, 11:04:28 AMEventuell Verbanne ich die Subnet Routing Funktion ganz von der Firewall auf eine VM irgendwo
Quote from: Alexander.P on November 07, 2025, 11:04:28 AMAls ich jetzt die Obigen HA Tests wieder gemacht hatte. War das verhalten extrem anders
Quote from: Patrick M. Hausen on November 13, 2025, 09:29:01 PMFür "allow" ja. Für "deny" nein. Du willst ja auch das gehackte System blocken, das mit einer falschen Absender-Adresse als Teil eines Botnets versucht, irgendeinen Dritten zu DDoSen.
Quote from: Lucas P on December 04, 2025, 06:02:17 PMDie OutboundNAT Regel dann auf das IPSec Interface oder WAN?