HA mit CARP: LAN VIP wird auf beiden Knoten im Modus BACKUP angezeigt

[TheExpert]

Hallo zusammen,

ich habe mich entschlossen, meinen seit vielen Jahren zuverlässig laufenden Sophos UTM HA-Cluster in meinem IT-Homelab nun auf OPNsense umzustellen. Daher habe ich heute die beiden OPNsense Firewall Knoten mit der ISO von OPNsense installiert und auch HA eingerichtet. Ich bin dazu nach der Anleitung von Thomas Krenn vorgegangen (https://www.thomas-krenn.com/en/wiki/OPNsense_HA_Cluster_configuration). Für das WAN- und DMZ-Interface funktioniert das auch richtig, aber mit dem LAN-Interface nicht - beide Firewall-Knoten zeigen die CARP-VIP für LAN im Modus BACKUP an.

Die beiden Knoten befinden sich als VMs jeweils auf einem separaten ESXi 8.0 Host. Cluster, LAN, WAN und DMZ sind separate VMXNET3 Netzwerkkarten in der VM und sind an separaten vSwitches angeschlossen, an denen wiederum jeweils eigene physikalische Netzwerkkarten des Hosts angebunden sind - für LAN sogar 2 physikalische Netzwerkkarten. Für LAN habe ich auf den ESXi-Hosts einen vSwitch mit mehreren VLANs eingerichtet. Die VLAN-ID der Portgruppe ist 4.095 (Trunk). Das Standard-LAN ist untagged, die weiteren LANs sind tagged. Die beiden physikalischen Netzwerkkarten für LAN sind jeweils an zwei unterschiedlichen physikalischen Switchen angebunden.

Mit dieser Konfiguration erreiche ich ohne Probleme die Management-IPs der beiden Firewall-Knoten. Die Management-IPs befinden sich im untagged LAN. Dementsprechend komme ich auch auf die Admin-Oberfläche der beiden Systeme.

Auf den beiden Knoten habe ich die VLANs noch nicht angelegt. Hier weiß ich noch nicht, ob ich hier auch jedes Mal eine CARP-Konfiguration vornehmen muss oder ob dafür auch ein IP-Alias ausreichen würde. Ich habe derzeit lediglich eine CARP-VIP für das untagged LAN eingerichtet. Die weiteren LANs würde ich erst einrichten, wenn das HA für das Standard-LAN funktional habe.

Nun frage ich mich, warum die beiden Firewall-Knoten die CARP-VIP für das LAN im Modus Backup anzeigen? Aus einem mir nicht ersichtlichen Grund können die beiden Firewall-Knoten nicht über die LAN-Interfaces miteinander kommunizieren.

Was kann ich tun, um den Fehler zu beheben?

Vielen Dank und viele Grüße

TheExpert

[Patrick M. Hausen]

- tagged und untagged nicht mischen
- generell das Tagging dem Hypervisor überlassen, also eine Port Group pro VLAN, eine virtuelle Netzwerkkarte pro VLAN im OPNsense Gast
- natürlich auf jedem Interface eine CARP-Adresse