Kein HA mehr nach aktivierung von LACP

[Falk R.]

Hallo Community,

ich habe einen HA Cluster (2752er) der seit der Einrichtung vor ein paar Tagen gut lief. Dann wollte ich die Redundanz verbessern und habe auf den LAN Interfaces (beide SFP+) als LACP konfiguriert und gesteckt.
Als ich nach dem Umbau die nächste Änderung synchronisieren wollte, ging leider nix mehr.
Ich bin dann im FreeBSD Forum auf ein Problem mit CARP und LACP gestoßen. Ich habe mich da etwas zu dem Thema eingelesen und CARP + LACP ist wohl keine gute Idee.
Also habe ich die LAG auf Failover umgebaut, aber leider kann ich die Konfiguration nicht mehr Synchronisieren und beim HA Status kommt immer noch "The backup firewall is not accessible or not configured."

kennt jemand das Problem und hat eventuell einen Tipp für mich?

[Patrick M. Hausen]

Ich habe CARP und LACP problemlos am laufen.

- jede Firewall hat ein LACP Interface zu zwei Switches, die Multi-Chassis-LACP können
- darauf sind VLANs
- auf den VLANs jeweils eine dedizierte Adresse und dann CARP

Funktioniert. Du musst nur zwischen Layer 2 und Layer 3 sauber trennen. Das LACP-Interface ist einfach ein Link. CARP findet ein Layer darüber statt.

[Falk R.]

Ich habe ganz oft gelesen, dass wohl die LACP und CARP Pakete wohl Probleme miteinander haben.
Das komische ist ja, dass genau nach dem Stecken der Redundanten Links der HA nicht mehr geht.

Wie hast du den dein LACP konfiguriert? Ich habe L3/L4 aktiv.

[Patrick M. Hausen]

Du musst hier zwingend genau das nehmen, was auch der Switch macht. Cisco in der Regel L2+L3 ...

Und - was immer gerne falsch verstanden wird - jede Firewall mach für sich LACP. Damit versichert man sich gegen Ausfälle auf Layer 2. Das CARP oben drüber versichert dann gegen Ausfall einer ganzen Firewall.

Multi-Chassis-LACP über 2 OPNsense geht nicht.

[Falk R.]

Ich habe auf dem Core Switch natürlich die gleichen LACP Settings genommen und je ein LACP zu jeder Firewall.
Das sollte ja nur einen Layer1 Ausfall (Kabel oder Stackmember des Core) abfedern.

Ich habe jetzt den LACP auf dem Core aufgelöst und die beiden LAGG auf den Sense auf Failover gestellt.
Da ist mir noch aufgefallen, wenn ich auf dem Core das falsche Interface deaktiviere nutzt die Sense nicht das zweite Interface im Failover, sondern ist nicht mehr erreichbar.

Ich nehme jetzt mal die komplette Redundanz wieder raus und lasse nur einen Link pro Sense.

[Falk R.]

Als ich noch LACP eingeschaltet hatte, war beim Virtual IP Status immer eine Fehlermeldung, das eine Fehlkonfiguration bei den CARP IPs besteht. Seit das LACP weg konfiguriert ist, ist natürlich auch diese Meldung weg.

Leider synchronisiert die auch jetzt mit den Single Interfaces nicht mehr.

[Falk R.]

Nachdem ich beide Firewalls durchgestartet habe, funktioniert jetzt alles wieder.

Ich habe mir das Setup durch den Kopf gehen lassen, ich vermute die CARP Pakete vertragen das L4 LACP nicht.

Wenn ich jetzt ein LACP nur auf L2/L3 anlege sollte das wie bei dir funktionieren. Das teste ich aber nicht mehr heute.