Frage zu XMLRPC Sync

[AndreK]

Hallo zusammen,

Ich baue mir gerade ein HA Cluster auf und habe eine Frage zum XMLRPC Sync.

Wenn ich die Option Firewall Rules in System: High Availability: Settings aktiviere und habe vorher auf meinem Slave den Traffic für HTTPS und pfSync explit für den Master erlaubt, überschreibt er mir diese Regeln bzw. löscht diese?

Also z.B.: Ich habe auf dem Slave (192.168.0.2) den Traffic von 192.168.0.1(Master) erlaubt, meine Regel auf dem Master erlaubt dann ja den Traffic von 192.168.0.2 zur 192.168.0.1. Würde mir die Masterregel die auf dem Slave überschreiben oder löschen?

Die gleiche Frage stellt sich mir auch bei den Virtual IPs, da ich dort gerne über die Advertising Frequency steuern will wer Master und wer Slave ist.

Vll. kann mich einer erhellen.

[superwinni2]

Hallo Andre


der Master überschrieibt ganz frech alles auf genau das was im Master steht. Also wenn es die Regel nicht im Master gibt, wird es diese auch nach dem Sync nicht auf dem Slave geben.


Bei den Virtal IPs:
Diese erstellst du ebenfalls nur am Master. Beim Sync addiert der Master automatisch +100 beim Skew und fügt dies dem Slave hinzu.


PS.: Der Config Sync ist immer nur "einseitig". Also die Configs werden immer vom Master auf den Slave übertragen. Aber niemals vom Slave zum Master. Sonst kann es soweit ich weiß zu einer Endlosschleife an Synchronisationen kommen.
Nur die PFSync Pakete müssen beidseitig zugelassen werden.

[AndreK]

Hallo Andre

der Master überschrieibt ganz frech alles auf genau das was im Master steht. Also wenn es die Regel nicht im Master gibt, wird es diese auch nach dem Sync nicht auf dem Slave geben.

OK, hab ich vermutet aber in einem Live System nicht testen wollen.

Bei den Virtal IPs:
Diese erstellst du ebenfalls nur am Master. Beim Sync addiert der Master automatisch +100 beim Skew und fügt dies dem Slave hinzu.

Das ist doch praktisch. Aber warum steht sowas nicht in der Doku?

PS.: Der Config Sync ist immer nur "einseitig". Also die Configs werden immer vom Master auf den Slave übertragen. Aber niemals vom Slave zum Master. Sonst kann es soweit ich weiß zu einer Endlosschleife an Synchronisationen kommen.
Nur die PFSync Pakete müssen beidseitig zugelassen werden.

Danke für die Infos. Ich werde die Regeln dann allgemein halten. Theoretisch kommt da eh keiner dran, da es nen echtes eigenes Kabel ist, aber man weiß ja nie.

Eine Frage ist mir noch eingefallen:
Die Interface werden aber nicht synchronisiert oder? Sprich die muss ich vorher händisch anlegen. Die Vlans hab ich gesehen werden synchronisiert.

Gruß Andre

[superwinni2]

Angsthaste  ;D
Aber ist schon klar warum dies nicht machen wolltest  ;)


Naja... Steht eher schlecht darin.. Ich glaube das sollte man im Punkt Setup HA sync (xmlrpc) and pfSync herauslesen....


Ich habe bei meiner produktiven FW ein /30 Netzwerk genommen und zudem ebenfalls ein seperates Interface. Wenn jemand physikalisch an deine FW dran kommt und das Sync Kabel zieht, dann ist vermutlich die Gefahr, dass er auf die Anmeldemaske kommt die geringste. In dem Moment denken dann beide FWs sie sind der Master, es gibt doppelte IPs im Netzwerk und ein "kleines Digitales Feuerwerk" im Netzwerkkabel.




Interfaces werden nicht synchronisiert. Ob VLANs synchronisiert werden kann ich dir so gar nicht beantworten.. Das habe ich damals vor dem HA gemacht...

[mimugmail]

Das ist doch praktisch. Aber warum steht sowas nicht in der Doku?

Habs mal eingepflegt, kann übrigens jeder selbst machen, die Leute sind einem dankbar für bessere Doku :)
https://github.com/opnsense/docs/pull/191/files

[AndreK]

Habs mal eingepflegt, kann übrigens jeder selbst machen, die Leute sind einem dankbar für bessere Doku :)
https://github.com/opnsense/docs/pull/191/files

Dazu müßte man wissen wie das funktioniert ;) Ich habe keine Ahnung von diesem Git Gedönse.

Vll. Sollte man noch mit aufnehmen, das er alle anderen überschreibt.

Danke für alle Infos.