WAN - CARP - Gateway Lost bei Standbye Firewall ?

Started by almo, September 05, 2019, 08:41:50 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
September 26, 2019, 08:35:06 AM #15
Das war meine Anfrage:
Quote
Sehr geehrter Herr xyz,

auf unseren neuen Firewall benutzen wir CARP(https://de.wikipedia.org/wiki/Common_Address_Redundancy_Protocol ) Interfaces für die Konfiguration zwischen den Firewalls. Mir ist jetzt vor kurzem aufgefallen das auf der Stand-by Firewall immer das Gateway vom VLAN 809 als offline angezeigt wird. Mache ich aber die Stand-by zur Masterfirewall ist das Gateway erreichbar. Vor einiger Zeit war bei beiden das Gateway immer aktiv. So wie bei den anderen VLAN's auch. (Siehe Screenshots)

Folgende Konfiguration ist im Einsatz:

Master Firewall IP VLAN 809 Interface: 129.X.X.250/24
Backup Firewall IP VLAN 809 Interface: 129.X.X.251/24

CARP Interface für WAN: 129.x.x.253/24 (Was immer auf einer Firewall Master und auf der anderen Backup ist)

Bei den VLANs 2606, 2673, 2070, ist es auch eine CARP Konfiguration da funktioniert das mit der Gateway ohne Probleme auf beiden Firewall Einheiten.

Haben Sie einer Erklärung? Blockiert evtl. irgendwas am Router im VLAN 809 die CARP-Funktionalität ?

Evtl. haben Sie auch mehr Informationen von der Gegenseite für mich um das Problem zu finden.

Screenshots:

Prime FW:
 
Backup Firewall:




September 30, 2019, 09:33:45 PM #16
Hi,

warum geht man mit dem Uplink direkt in die Firewall?

Ich habe bei mir im RZ vom Provider 2 Kabel mit 3 IPs (2x router, 1x VRRP) von deren Seite in einem LAN. Mit den zwei Kabeln gehe ich zuerst in den switch cluster (eins oben eins unten rein, per trunk verbunden).
Der Trunk bekommt eine VLAN-ID und dann geht es in die firewalls per VLAN über ein LACP lagg mit beiden switches. Und von da aus dann weiter über andere VLANs wieder zurück in den gleichen switch cluster.

Wenn beim Provider was nicht ok ist, kommt es deswegen nicht zu einem Problem bei den Firewalls.
Wenn ich nicht sicher bin, ob bei mir oder dem Provider was nicht stimmt, bekommt der Port auf dem Switch eine IP und dann wird pro Strecke getestet.
Und so weiter.

Wenn da noch zwei Ports auf dem Switch (cluster?) frei sind, dann würde ich das mal so probieren.
October 02, 2019, 08:11:32 AM #17
QuoteHi,

warum geht man mit dem Uplink direkt in die Firewall?

Weil es beim Dienstleister des RZ nicht anders möglich war. Und da können wir jetzt so viel diskutieren wie wir wollen, so wie die Leitungen stehen stehen sie nun mal daran kann ich nichts ändern. Ich versuche nur eben raus zu finden warum ich dieses CARP Problem auf dem VLAN für WAN habe. Auf den anderen VLANS die auch vom Router kommen aber interne Netze sind zu anderen RZ-Räumen oder Standorten habe ich dieses Problem nicht.

Print
Go Up Pages 1 2
User actions