[Gelöst] CARP Cluster WAN bleibt bei Failover auf Master Firewall

Started by hmarius1, May 29, 2019, 12:16:40 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 29, 2019, 12:16:40 PM Last Edit: June 04, 2019, 06:49:52 PM by hmarius1
Hallo,

ich habe folgendes Problem

Ich habe zwei Firewalls im HA Cluster laufen:

FW1
LAN -> LAG
WAN -> igb1
PFSYNC -> igb2

FW2
LAN -> LAG
WAN -> igb1
PFSYNC -> igb2

wenn ich jetzt auf FW 1 das LAN ziehe wird das LAN auf FW 2 Master das WAN hingegen bleibt auf FW 1 Master somit ist dann keine Verbindung zum WAN hin mehr möglich. Normalerweise wird auf FW 2 bei einem Ausfall der LAN Verbindung von FW 1 auch der WAN Anschluss Master. Kennt jemand eine Lösung für das Problem?
May 29, 2019, 01:57:22 PM #1
Wie sind die Settings in HA? Disable preemption angeklickt oder nicht?
May 29, 2019, 06:08:19 PM #2
Disable preemption ist nicht angeklickt. Ansonsten ist folgendes angeklickt: Benutzer und Gruppen, Firewall regeln, NAT, Statische Routen, virtuelle IPs, IPsec und OPNvpn.
May 29, 2019, 08:36:21 PM #3
Bei beiden ist es nicht angeklickt, korrekt?
May 29, 2019, 08:46:51 PM #4 Last Edit: May 29, 2019, 08:48:49 PM by hmarius1
Das ist korrekt.

Hier mal ein Netzwerkdiagram im Anhang.
WAN kommt auf einem HP Switch mit einem Öffentlichen Subnet /27 an.
Auf beiden Firewalls ist das LAN Interface als LAG konfiguriert.
Auf dem Stack aus zwei Switchen hängt jeweils ein beinchen von Firewall 1 und 2 auf Unit 1 und Unit 2.
Wenn ich jetzt auf dem Master das LAG komplett kappe wird LAN auf der Backup Firewall Master aber WAN bleibt auf der Master Firewall Master.
May 30, 2019, 07:08:55 AM #5
Ich hab irgendwo schon mal gelesen dass ein Event am lagg einen Failover triggert, aber das es beim kompletten abziehen Master nicht komplett umzieht kommt nur wenn du Disable Preemption angeklickt hast. War das vorher mal aktiv? Dazu braucht es einen Neustart wenn man da was ändert.
May 30, 2019, 10:10:47 AM #6
Es war mal angeklickt, weil ich gucken wollte ob der Fehler eventuell damit nicht mehr vorhanden ist. Nachdem ich es dann wieder abgewählt habe, habe ich auch einen Neustart beider Firewalls durchgeführt.
May 30, 2019, 01:23:37 PM #7
Dann würde ich jetzt behaupten das ein Switch von beiden Probleme damit hat. Mach mal carp für LAN komplett aus und nimm nur das vlan vom Access Port weg damit der Link bleibt. Dann testen
May 30, 2019, 01:41:47 PM #8 Last Edit: May 30, 2019, 03:24:29 PM by hmarius1
Auf der WAN Seite wo das Problem ist gibt es aber nur einen HP Switch. Auf der LAN Seite sind die beiden Switche auch nur einer da diese als Stack konfiguriert sind.

Wenn ich der Masterfirewall den Strom ziehe schaltet die Backupfirewall LAN und WAN Interface auf Master und sobald die Masterfirewall wieder da ist auch zurück.

Wenn ich das richtig verstanden habe soll ich jetzt das CARP für LAN auf beiden Firewalls löschen und das default vlan am LAN Anschluss im LAN Switch löschen?
Aber was soll ich dann Testen? Mein CARP ist ja dann nicht mehr vorhanden am LAN Anschluss.

Kann mein Problem eventuell auch damit zutun haben das ich bei dem Gateway: deaktiviere Gatewayüberwachung nicht aktiviert habe?
May 30, 2019, 06:58:50 PM #9
Stimmt, funktioniert so nicht. Dann zieh mal von FW1 beide LAN Kabel. Dann ist FW1 master auf WAN und FW master auf LAN, korrekt? Dann von dem Moment wo du ziehst das system.log von beiden
June 04, 2019, 06:49:29 PM #10
Läuft jetzt. Nachdem ich das Gateway Monitoring im Gateway deaktiviert habe hat alles funktioniert wie es soll.
June 04, 2019, 10:01:25 PM #11
Strange, aber gut zu wissen :)
Print
Go Up Pages1
User actions