International Forums > Spanish - Español

Echadme un cable con el CARP

(1/1)

Serius:
Hola amigos, espero que me podáis ayudar con la configuración de alta disponibilidad/CARP. Abrí hace ya un tiempo un post en el foro inglés pero no parece que haya mucha intención de ayuda allí.

Estoy intentando poner en marcha un CARP entre un FW físico, en un NUC, y la máquina virtual en ESXI que usaba antes. He conseguido configurar el sistema usando un interface LAGG para abstraer las diferencias del hardware como sugiere la documentación. El NUC solo tiene un interfaz físico y tengo varias Vlans configuradas.

Entiendo que tal y como lo he hecho debería funcionar, ya que si lo comparo con los archivos de ejemplo (a pesar de ser más viejos que la polca...) todo está presente. De hecho PFSync funciona, XMLSync también y los status muestran normal con el fw1 como Master y el fw2 como Backup.
Pero tengo dos problemas gordos:

* El DHCP hace cosas raras, como reservar prácticamente todas las IPs disponibles. Los dispositivos que consiguen IP, obtienen un número del final del rango. (Es normal??). Y si apago el fw2 (Backup), el DHCP deja de funcionar.

* El firewall está como loco. El log del Backup muestra bloqueos continuamente, para conexiones para las que tengo reglas de aceptación configuradas. El fw1 de vez en cuando también suelta algunos bloqueos pero en general va bien.
La comunicación en la red se corta a intervalos regulares. Cada minuto y permanece cortada durante unos cinco minutos. Luego vuelve y así.

* Si hago ping al router desde la vlan LAN (mi ordenador) responde al ping el gateway de otra vlan. He comprobado que va cambiando, cada vez que se restaura la conexión, responde desde otra vlan distinta. Rara vez desde la propia.
Alguien sabe que pasa aquí? Puede ser que el CARP no funcione en cuanto empiezas a usar vlans y reglas de fw más complejas?
Si alguien entiende, puede pasarle las configuraciones (quitando claves y tal).

opns_neuling:
Hola !
Proba con los adaptadores de redes directamente.
cuando vas a firewall / virtual ip / status ...
cuales son los stados de las ip virtuales ?
cual es el valor Current CARP demotion level ?
Saluds

Serius:

--- Quote from: opns_neuling on July 10, 2020, 01:28:22 pm ---Hola !
Proba con los adaptadores de redes directamente.
cuando vas a firewall / virtual ip / status ...
cuales son los stados de las ip virtuales ?
cual es el valor Current CARP demotion level ?
Saluds

--- End quote ---

Muchas gracias por tu ayuda.

La idea de usar lag, era evitar la diferencia de nombre del interfaz padre, ya que un dispositivo es físico (nuc) y el otro es virtualizado. De esta forma, en ambos casos se llama "lag".
De todas formas, lo que he hecho es cambiar el tipo de adaptador de la máquina virtual a Intel, y de esa forma ya no se usa lag. Está como dices. Y no funciona.

FW->Virtual IP->Status: Muestra MASTER en el principal y BACKUP en el secundario.
El demotion level, En el principal es 0, y en el secundario es también 0.

Esto justo después de activar el secundario y sincronizar la configuración.
La sincronización funciona y todo parece ir bien, pero unos minutos más tarde 15-30, la red deja de funcionar y la causa parece que sea un caos en el firewall que está bloqueando comunicaciones correctas.

Desde entonces, también probé a hacer un sistema de prueba en el hipervisor, con dos routers virtuales en una red aislada, sin reglas de FW personalizadas, y ocurre exactamente lo mismo.
Llegué a la conclusión que la alta disponibilidad en OPNSense está rota y mantengo el backup apagado.

Serius:
Cuando apago el router principal, el secundario no entra en línea y en VIP->Status aparece:

"CARP has detected a problem and this unit has been demoted to BACKUP status.
Check link status on all interfaces with configured CARP VIPs."
Y el demotion level está en 240.

Las conexiones son correctas.
El puerto del hipervisor en el switch es un trunk con todas las vlans aceptadas.
En ESXI, la máquina virtual tiene configurada una conexión de red a través de un grupo de puertos trunk. Y tiene activado: Modo promiscuo, transmisiones falsificadas, cambios en dirección MAC.

Navigation

[0] Message Index