HA Setup mit Virtual-IP Traceroute generelle Frage

Started by guenti_r, April 15, 2025, 09:39:02 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
April 16, 2025, 02:16:40 PM #15
Quote from: viragomann on April 16, 2025, 12:46:34 PMAliases in einem anderen Subnetz sollten doch ebenfalls möglich sein. Ich würde aber unabhängig von CARP den Sinn hinterfragen.
"Sollte" ist gut. Damals hat das eben nicht funktioniert. Der Sinn war eine seamless Migration bestehender Strukturen.
Hätte ich die Möglichkeit, diese Geschichte komplett neu zu machen, hätte ich diese Probleme nicht.

Werde mir mal eine Teststellung virtualisieren und das Szenario nachspielen, vielleicht funktioniert ja inzwischen das mit den IP-Aliasen auf dem LAN mit CARP.
April 23, 2025, 03:05:35 PM #16
Quote from: guenti_r on April 15, 2025, 04:26:11 PMNein, von innen.

Es wurde eine öffentliche IP (zB. 92.123.123.123) bereitgestellt (via IP-Alias an der einzigen WAN-CARP-VIP).
Dann gibt es für zB. ein LAN-Netzwerk (zB. 172.16.10.0/24), die LAN-CARP-VIP wär dann 172.16.10.1/24.
Eingehendes & ausgehendes NAT ist so angelegt, dass NUR dieser Adressraum verwendet/erreicht werden kann (auch mit floating rules).

Natürlich haben die "echten" LAN-IPs der OPNSenses einen anderen Adressbereich, zB. 192.168.20.1 & 192.168.20.2.

Wenn ich zB. einen PC an der LAN-CARP-VIP anschliesse mit 172.16.10.100/24 mit Gateway 172.16.10.1, funktioniert alles wunderbar.
Traffic wird einwandfrei rausgenatet und rein.
Wenn man dann aber von diesem PC ein TCP-Traceroute nach 8.8.8.8 absetzt, sieht man leider die 192.168.20.1 anstatt 172.16.10.1 !

Und genau das ist das Problem.
Ich könnte als hauruck-Lösung ICMP deaktivieren oder umleiten, aber dann verliere ich die PMTU-Geschichte.

Also das klingt bei mir nicht nach "aus dem Lehrbuch" gebaut, sondern nach einer ziemlichen Bastellösung. Bin da bei Patricks letztem Post, das sieht für mich eher falsch aus.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
April 24, 2025, 08:20:31 AM #17
Quote from: JeGr on April 23, 2025, 03:05:35 PMAlso das klingt bei mir nicht nach "aus dem Lehrbuch" gebaut, sondern nach einer ziemlichen Bastellösung. Bin da bei Patricks letztem Post, das sieht für mich eher falsch aus.

Cheers

Danke für dein Feedback.
Wie würde eine eine "richtigere" Lösung aussehen?
April 24, 2025, 09:03:05 AM #18
Dedizierte IP-Adressen und CARP-Adressen und Aliase alle aus demselben Netz.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 24, 2025, 12:45:02 PM #19
Quote from: Patrick M. Hausen on April 24, 2025, 09:03:05 AMDedizierte IP-Adressen und CARP-Adressen und Aliase alle aus demselben Netz.
Naja, es kann gute Gründe geben, einem Interface Adressen aus unterschiedlichen Subnetzen zuzuweisen. Aber zugegeben, das sollte nur in seltenen Fällen nötig sein und wenn man es macht, sollte man sich der Auswirkungen bewusst sein.
April 24, 2025, 01:30:50 PM #20
Dann würde ich aber je eine feste Adresse aus jedem der Subnetze zuweisen und dann CARP und Aliase zusätzlich.

Nicht fest aus Subnetz 1 und CARP aus Subnetz 2 ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 24, 2025, 02:25:35 PM #21
Quote from: Patrick M. Hausen on April 24, 2025, 01:30:50 PMDann würde ich aber je eine feste Adresse aus jedem der Subnetze zuweisen
Ja, das ist obligatorisch.

Ich hatte das mal, weil ich vom ISP mehrere kleine WAN Subnetze bekommen hatte und dieser nicht fähig war, die weiteren zu routen...
April 24, 2025, 02:42:46 PM #22
Quote from: viragomann on April 24, 2025, 02:25:35 PMJa, das ist obligatorisch.

Hast du dafür eine Referenz? Ich mein, kein Widerspruch, aber eher weil "fühlt sich richtig an". Doku wäre toll :-)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 24, 2025, 03:04:00 PM #23
Referenz kann ich nicht nennen.

Das besagte System hatte ich vor 12 Jahren mit pfSense eingerichtet und bis vor 5 Jahren betrieben. Die Infos stammen also von pfSense und aus früherer Zeit.
Ja, demnach musste in jedem Subnetz eine Interface-IP zugewiesen werden (IP Alias) und dann konnte eine CARP VIP zugewiesen werden.

Aber wenn ich so nachdenke, das dürfte heute gar nicht mehr gelten. Seit Jahren ist es ja legitim, eine CARP VIP in einem anderen Subnetz zu verwenden. Bspw. wenn nur 1 WAN IP zur Verfügung steht, so kann das Interface auch in einem privaten Subnetz sein. Dabei gibt es nur Einschränkungen bezüglich Verbindungen der Backup-FW.
Wichtig scheint also nur zu sein, dass die zusammengehörigen Interfaces IPs im selben Subnetz haben.
Print
Go Up Pages 1 2
User actions