[Gelöst] CARP Cluster WAN bleibt bei Failover auf Master Firewall

[hmarius1]

Hallo,

ich habe folgendes Problem

Ich habe zwei Firewalls im HA Cluster laufen:

FW1
LAN -> LAG
WAN -> igb1
PFSYNC -> igb2

FW2
LAN -> LAG
WAN -> igb1
PFSYNC -> igb2

wenn ich jetzt auf FW 1 das LAN ziehe wird das LAN auf FW 2 Master das WAN hingegen bleibt auf FW 1 Master somit ist dann keine Verbindung zum WAN hin mehr möglich. Normalerweise wird auf FW 2 bei einem Ausfall der LAN Verbindung von FW 1 auch der WAN Anschluss Master. Kennt jemand eine Lösung für das Problem?

[mimugmail]

Wie sind die Settings in HA? Disable preemption angeklickt oder nicht?

[hmarius1]

Disable preemption ist nicht angeklickt. Ansonsten ist folgendes angeklickt: Benutzer und Gruppen, Firewall regeln, NAT, Statische Routen, virtuelle IPs, IPsec und OPNvpn.

[mimugmail]

Bei beiden ist es nicht angeklickt, korrekt?

[hmarius1]

Das ist korrekt.

Hier mal ein Netzwerkdiagram im Anhang.
WAN kommt auf einem HP Switch mit einem Öffentlichen Subnet /27 an.
Auf beiden Firewalls ist das LAN Interface als LAG konfiguriert.
Auf dem Stack aus zwei Switchen hängt jeweils ein beinchen von Firewall 1 und 2 auf Unit 1 und Unit 2.
Wenn ich jetzt auf dem Master das LAG komplett kappe wird LAN auf der Backup Firewall Master aber WAN bleibt auf der Master Firewall Master.

[mimugmail]

Ich hab irgendwo schon mal gelesen dass ein Event am lagg einen Failover triggert, aber das es beim kompletten abziehen Master nicht komplett umzieht kommt nur wenn du Disable Preemption angeklickt hast. War das vorher mal aktiv? Dazu braucht es einen Neustart wenn man da was ändert.

[hmarius1]

Es war mal angeklickt, weil ich gucken wollte ob der Fehler eventuell damit nicht mehr vorhanden ist. Nachdem ich es dann wieder abgewählt habe, habe ich auch einen Neustart beider Firewalls durchgeführt.

[mimugmail]

Dann würde ich jetzt behaupten das ein Switch von beiden Probleme damit hat. Mach mal carp für LAN komplett aus und nimm nur das vlan vom Access Port weg damit der Link bleibt. Dann testen

[hmarius1]

Auf der WAN Seite wo das Problem ist gibt es aber nur einen HP Switch. Auf der LAN Seite sind die beiden Switche auch nur einer da diese als Stack konfiguriert sind.

Wenn ich der Masterfirewall den Strom ziehe schaltet die Backupfirewall LAN und WAN Interface auf Master und sobald die Masterfirewall wieder da ist auch zurück.

Wenn ich das richtig verstanden habe soll ich jetzt das CARP für LAN auf beiden Firewalls löschen und das default vlan am LAN Anschluss im LAN Switch löschen?
Aber was soll ich dann Testen? Mein CARP ist ja dann nicht mehr vorhanden am LAN Anschluss.

Kann mein Problem eventuell auch damit zutun haben das ich bei dem Gateway: deaktiviere Gatewayüberwachung nicht aktiviert habe?

[mimugmail]

Stimmt, funktioniert so nicht. Dann zieh mal von FW1 beide LAN Kabel. Dann ist FW1 master auf WAN und FW master auf LAN, korrekt? Dann von dem Moment wo du ziehst das system.log von beiden

[hmarius1]

Läuft jetzt. Nachdem ich das Gateway Monitoring im Gateway deaktiviert habe hat alles funktioniert wie es soll.

[mimugmail]

Strange, aber gut zu wissen