Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPNsense 19.1.7: IPSEC Tunnel nicht "down" bei defekter Glasfaser (TX oder RX)
« previous
next »
Print
Pages: [
1
]
Author
Topic: OPNsense 19.1.7: IPSEC Tunnel nicht "down" bei defekter Glasfaser (TX oder RX) (Read 2917 times)
linuxmail
Newbie
Posts: 18
Karma: 0
OPNsense 19.1.7: IPSEC Tunnel nicht "down" bei defekter Glasfaser (TX oder RX)
«
on:
July 30, 2019, 05:21:15 pm »
hi,
wir hatten gestern einen Ausfall bei der Verbindung zwischen zwei RZs, bei dem der RZ Betreiber versehentlich unsere Darkfiber in der Tür eingeklemmt hat. Das hatte zur Folge, dass wir ziemlich ins schwitzen kamen, bis die Ursache klar war.
Der Grund warum das Auffinden so lange gedauert hat war der, dass laut beiden OpenSense Clustern (19.1.7) das VPN wohl noch auf beiden Standorten "aktiv" war, aber es floss kein Verkehr durch.
Ich vermute, dass das Kabel nicht vollständig durchtrennt wurde, sondern nur soviel, dass entweder RX, oder TX kaputt war. Der Link muss also für die SFP+ (Single Mode 10km) noch "UP" gewesen sein.
Hat jemand schon einmal ein ähnliches Problem gehabt ? Eigentlich hätte ich erwartet, dass IPSec Heartbeats sendet und beim Ausbleiben eben dieser die Verbindung beendet. Das hätte nämlich schneller dafür gesorgt, dass Redis / MongoDB und Co darüber Bescheid gewusst und sich reorganisiert hätten. So waren wir gezwungen, am primären Standort den OpenSense Cluster zu rebooten. Erst ab diesem Moment als der OpnSense Cluster wieder da war, konnten wir einen Standort wieder in den regulären Betrieb versetzen.
Als der RZ Betreiber das Kabel ausgetauscht hatte, konnte auch der IPSec tunnel wieder in Betrieb genommen werden, um den zweiten Standort restaurieren.
Ich weiß von einem Kollegen, dass er ein ähnliches Phänomen hatte, aber mit einer Cisco :-) Er hat darauf hin alle SFP+ Module ausgetauscht gegen welche, die nur eine "Faser" benötigen (also RX / TX werden über Frequenzen verwaltet).
cu denny
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OPNsense 19.1.7: IPSEC Tunnel nicht "down" bei defekter Glasfaser (TX oder RX)
«
Reply #1 on:
July 30, 2019, 09:21:43 pm »
Am besten geht das mit Switch dazwischen und BFD. Eventuell sollten wir uns das für FRR auch mal ansehen ...
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
linuxmail
Newbie
Posts: 18
Karma: 0
Re: OPNsense 19.1.7: IPSEC Tunnel nicht "down" bei defekter Glasfaser (TX oder RX)
«
Reply #2 on:
July 30, 2019, 09:43:25 pm »
hi,
BFD kannte ich noch garnicht. Zum Switch kann ich sagen: die Faser hängt an jeweils einem Ubiquity EdgeSwitch 16-XG.
cu denny
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OPNsense 19.1.7: IPSEC Tunnel nicht "down" bei defekter Glasfaser (TX oder RX)
«
Reply #3 on:
July 31, 2019, 06:17:17 am »
Bei den alten Catalysten gabs mal nen Vorreiter, hiess glaub ich UFD. Gehörte glaub ich zum spanning-tree Features Umfang. Mit den Ubiquity kenn ich mich nicht aus, ist das nicht consumer grade? Wär mir bisschen zu heikel für 10G DCI.
Schaut euch doch mal Mellanox an, die sind recht günstig, vor allem Garantieerweiterung etc., config identisch wie Cisco, gute UI und halbe HE, also einen HA Cluster auf einer HE
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
linuxmail
Newbie
Posts: 18
Karma: 0
Re: OPNsense 19.1.7: IPSEC Tunnel nicht "down" bei defekter Glasfaser (TX oder RX)
«
Reply #4 on:
July 31, 2019, 12:05:53 pm »
hi,
die Mellanox haben wir als 100Gb für Ceph Storage im Einsatz. Zwei von den 16XG haben nur drei Kabel: die Darkfiber und OpnSense1 und OpnSense2 :-)
Dummerweise müsste wir bei der Änderung der SFP+ Module auf ein Goodwill des RZs hoffen, wenn die Buchhaltung das OK gibt, denn dann könnten wir auf BiDi umrüsten.
Was ich noch von einem Ex-Kollegen als Tipp erhalten habe: UDLD auf Aggressiv schalten. Das müssten wir mal probieren.
«
Last Edit: July 31, 2019, 12:13:39 pm by linuxmail
»
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OPNsense 19.1.7: IPSEC Tunnel nicht "down" bei defekter Glasfaser (TX oder RX)
«
Reply #5 on:
July 31, 2019, 04:01:04 pm »
Ja genau, UDLD war das buzzword .. guter Tipp vom Ex-Kollegen
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPNsense 19.1.7: IPSEC Tunnel nicht "down" bei defekter Glasfaser (TX oder RX)