CARP Failover inkl. aller Pakete?

Started by tpf, Today at 10:05:04 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 10:05:04 AM
Servus,
funktioniert das CARP-Failover auf opnsense inkl. aller Pakete wie Zenarmor / Squid / VPN etc oder gibt's da irgenwelche Einschränkungen? Sprich: Ist das Failover-Cluster tatsächlich ein vollständiger Ersatz oder nur partiell?

Danke und Grüße
Today at 11:59:50 AM #1
Wie du das Konfigurierts steht im Manual.
Today at 06:12:53 PM #2
Es geht ja nicht so sehr ums Wie. Es geht darum: gibts was, was nicht failover-fähig ist? ;-)
Today at 10:03:40 PM #3
Kommt wahrscheinlich drauf an, wie komplex das Setup ist. Mir ist bisher nur aufgefallen, dass Captive Portal Sessions nicht gesynct werden. Beim Failover fliegt die Verbindung raus und man muss sich neu einloggen, damit der Traffic wieder durchkommt.
Today at 10:19:50 PM #4
Das musst du dir bei jedem Paket einzeln angucken, wie es am besten ist.

CARP wirft nur die IP-Adresse von einem Host auf den anderen.

Beispiel OpenVPN Server:

- auf dem Primary den Server einrichten
- Config-Sync per XMLRPC für OpenVPN aktivieren
- inbound NAT Regel - CARP Address: 1194 --> 127.0.0.1:1194
- auf den Clients die CARP Adresse konfigurieren

Das sorgt dafür, dass nur der aktive Node Verbindungen bekommt und durch das NAT haben die Antwort-Pakete auch wieder die richtige Source IP, nämlich die CARP VIP.

Beim Failover fliegen natürlich alle Sitzungen weg, aber Clients wie Tunnelblick oder Viscosity bauen den Tunnel ja automatisch wieder auf.


Das ist alles eher "rustikal" gestrickt - der Trick mit dem NAT funktioniert bei vielen Anwendungen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions