HA Setup mit Virtual-IP Traceroute generelle Frage

[guenti_r]

Aliases in einem anderen Subnetz sollten doch ebenfalls möglich sein. Ich würde aber unabhängig von CARP den Sinn hinterfragen.

"Sollte" ist gut. Damals hat das eben nicht funktioniert. Der Sinn war eine seamless Migration bestehender Strukturen.
Hätte ich die Möglichkeit, diese Geschichte komplett neu zu machen, hätte ich diese Probleme nicht.

Werde mir mal eine Teststellung virtualisieren und das Szenario nachspielen, vielleicht funktioniert ja inzwischen das mit den IP-Aliasen auf dem LAN mit CARP.

[JeGr]

Nein, von innen.

Es wurde eine öffentliche IP (zB. 92.123.123.123) bereitgestellt (via IP-Alias an der einzigen WAN-CARP-VIP).
Dann gibt es für zB. ein LAN-Netzwerk (zB. 172.16.10.0/24), die LAN-CARP-VIP wär dann 172.16.10.1/24.
Eingehendes & ausgehendes NAT ist so angelegt, dass NUR dieser Adressraum verwendet/erreicht werden kann (auch mit floating rules).

Natürlich haben die "echten" LAN-IPs der OPNSenses einen anderen Adressbereich, zB. 192.168.20.1 & 192.168.20.2.

Wenn ich zB. einen PC an der LAN-CARP-VIP anschliesse mit 172.16.10.100/24 mit Gateway 172.16.10.1, funktioniert alles wunderbar.
Traffic wird einwandfrei rausgenatet und rein.
Wenn man dann aber von diesem PC ein TCP-Traceroute nach 8.8.8.8 absetzt, sieht man leider die 192.168.20.1 anstatt 172.16.10.1 !

Und genau das ist das Problem.
Ich könnte als hauruck-Lösung ICMP deaktivieren oder umleiten, aber dann verliere ich die PMTU-Geschichte.

Also das klingt bei mir nicht nach "aus dem Lehrbuch" gebaut, sondern nach einer ziemlichen Bastellösung. Bin da bei Patricks letztem Post, das sieht für mich eher falsch aus.

Cheers

[guenti_r]

Also das klingt bei mir nicht nach "aus dem Lehrbuch" gebaut, sondern nach einer ziemlichen Bastellösung. Bin da bei Patricks letztem Post, das sieht für mich eher falsch aus.

Cheers

Danke für dein Feedback.
Wie würde eine eine "richtigere" Lösung aussehen?

[Patrick M. Hausen]

Dedizierte IP-Adressen und CARP-Adressen und Aliase alle aus demselben Netz.

[viragomann]

Dedizierte IP-Adressen und CARP-Adressen und Aliase alle aus demselben Netz.

Naja, es kann gute Gründe geben, einem Interface Adressen aus unterschiedlichen Subnetzen zuzuweisen. Aber zugegeben, das sollte nur in seltenen Fällen nötig sein und wenn man es macht, sollte man sich der Auswirkungen bewusst sein.

[Patrick M. Hausen]

Dann würde ich aber je eine feste Adresse aus jedem der Subnetze zuweisen und dann CARP und Aliase zusätzlich.

Nicht fest aus Subnetz 1 und CARP aus Subnetz 2 ...

[viragomann]

Dann würde ich aber je eine feste Adresse aus jedem der Subnetze zuweisen

Ja, das ist obligatorisch.

Ich hatte das mal, weil ich vom ISP mehrere kleine WAN Subnetze bekommen hatte und dieser nicht fähig war, die weiteren zu routen...

[Patrick M. Hausen]

Ja, das ist obligatorisch.

Hast du dafür eine Referenz? Ich mein, kein Widerspruch, aber eher weil "fühlt sich richtig an". Doku wäre toll :-)

[viragomann]

Referenz kann ich nicht nennen.

Das besagte System hatte ich vor 12 Jahren mit pfSense eingerichtet und bis vor 5 Jahren betrieben. Die Infos stammen also von pfSense und aus früherer Zeit.
Ja, demnach musste in jedem Subnetz eine Interface-IP zugewiesen werden (IP Alias) und dann konnte eine CARP VIP zugewiesen werden.

Aber wenn ich so nachdenke, das dürfte heute gar nicht mehr gelten. Seit Jahren ist es ja legitim, eine CARP VIP in einem anderen Subnetz zu verwenden. Bspw. wenn nur 1 WAN IP zur Verfügung steht, so kann das Interface auch in einem privaten Subnetz sein. Dabei gibt es nur Einschränkungen bezüglich Verbindungen der Backup-FW.
Wichtig scheint also nur zu sein, dass die zusammengehörigen Interfaces IPs im selben Subnetz haben.

[JeGr]

Ja, das ist obligatorisch.

Hast du dafür eine Referenz? Ich mein, kein Widerspruch, aber eher weil "fühlt sich richtig an". Doku wäre toll :-)

Das Beispiel dazu ist einfach, aber nicht schön.

Szenario: eine externe Public IP geroutet, nur /32 (bzw. /30). Mehr rückt der ISP nicht raus. Dazu aber CARP Cluster.

Setup dazu auf dem WAN: Node 1 & 2 bekommen private IP aus /29er Netz damit sie sich sehen + CARP IP. Dazu dann die /32 Public IP als CARP on top. Die wird dann auch ausgehend per outbound NAT genutzt, damit kommt aber nur der primary Node ins Internet, der andere nur dann wenn entweder Failover eintritt oder wenn man manuell was baut über SYNC Interface bspw. damit er über den Primary raus kommt.

Das ist schon allein wegen "kein Internet direkt auf dem Secondary" nicht schön, ist aber in so einem Szenario mitunter eine der wenigen verbleibenden Möglichkeiten. Ich versuche dann aber eher das Routing dann vom ISP auf sein eigenes Gerät zu bekommen und dahinter dann einfach ein privates /29er zu setzen, wo dann sauber die externe IP auf die interne CARP VIP geroutet wird. Aber nicht jeder ISP lässt das leider mit sich machen.

Auf der internen Seite versuchen wir aber generell das jedem Kunden oder Szenario auszureden. Es gibt da kaum einen Grund, warum in einem VLAN/L2 Segment mehr als ein (privates) Subnetz aufliegen sollte. Auch nicht "Altlasten" - dann packt man den alten Kram eben per VLAN in ein eigenes Segment und gut. Aber multiple IP Netze im gleichen L2 enden fast immer im Desaster und machen mehr Ärger als es Wert ist, das einmal mit ordentlichen Netzen gerade zu ziehen.

Cheers :)

Cheers