IP-Adresse von einem auf den anderen Server

twlght667
Goto Top
Hallo zusammen,
ich habe hier eine Firewall auf Basis von IPCop. Da die Hardware darunter sehr alt ist, bin ich gerade dabei eine zweite Firewall (als Backup) aufzusetzen, die im Notfall dann nur hochgefahren und verkabelt werden muss.
Aus dem Grund habe ich die auch EXAKT gleich konfiguriert. IP-Adresse, Hostname, Firewall-Einstellungen etc. (natürlich alles ohne sie am Netzwerk zu haben). Die Hardware ist allerdings komplett anders.

Heute wollte ich das Teil nun testen und bin auf folgendes Problem gestoßen:
Wenn ich die aktuelle Firewall vom Netz nehme (beide Netzwerkkabel raus) und die Backup-Firewall anstecke kann ich die nicht anpingen (per IP-Adresse oder DNS-Namen) so lange sie die IP der alten FW hat. Aber warum? Die IP-Adresse ist in diesem Moment selbstverständlich nur einmal im Netz vorhanden. Wenn ich der neuen FW eine "unbenutzte" IP gebe funktionierts. An was liegt das?

Das sonstige Netz besteht aus 2 W2K3-DCs, einem Exchange und einem Memberserver. Der Hostname der FW ist im DNS eingetragen und verweißt natürlich auf die IP.

Die einzige Möglichkeit die ich mir grad denken kann ist, dass in irgendeinem Cache vielleicht die MAC-Adresse der "alten" FW drin hängt und mit der IP verbunden ist.

Wahrscheinlich sehe ich gerade den Wald vor lauter Bäumen nicht.

Alsion

Content-Key: 67643

Url: https://administrator.de/contentid/67643

Ausgedruckt am: 20.05.2022 um 10:05 Uhr

Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 02.09.2007 um 08:52:01 Uhr
Goto Top
Hallo,

Die einzige Möglichkeit die ich mir
grad denken kann ist, dass in irgendeinem
Cache vielleicht die MAC-Adresse der
"alten" FW drin hängt und mit
der IP verbunden ist.

Ich denke, ganu daran wird es liegen. Denn am Switch und den Endgeräten muß sich ja erstmal "rumsprechen", dass die IP auf einmal eine neue MAC hat. Kannst Du ja ganz einfach im ARP-Table nachschauen.
Eine andere Möglichkeit wäre, der neuen FW tatsächlich die MAC der alten zu verpassen.
Oder was auch sein kann, dass der Switch an dem Port auf die alte MAC "geeicht" (z.B. VLAN) ist und nur die dort zulässt (wenn es ein gemanagert ist).

Ralf
Mitglied: Dani
Dani 02.09.2007 um 11:24:37 Uhr
Goto Top
Moin!
Was wäre wenn du aus den beiden Firewalls n Cluster bildest. Somit hat jede erstmal eine feste (unterschiedliche) IP-Adresse und zuästzlich eine gemeinsame Cluster IP (virtuelle IP). Falls dann die Primäre FW ausfällt, ist die Backup FW unter der gleiche IP erreichbar und müsste gleich einspringen.


Grüße
Dani
Mitglied: Twlght667
Twlght667 02.09.2007 um 14:13:22 Uhr
Goto Top
Klingt gut, aber wie mache ich das?
Mitglied: Dani
Dani 02.09.2007 um 15:08:23 Uhr
Goto Top
Soweit ich weiß läuft IPCop unter Linux. Sprich ich würde dir vorschlagen du liest erstmal ein bisschen was dazu. Den Cluster ist ein großes Thema und nicht 0815 Service.

Dann würde ich mich nebenher nach einer Software umschauen, die Clustering unterstützt. Das Ganze dann mal in einer Testumgebung ausgibig probieren und vorallem dann dokumentieren. So viel Zeit muss sein.

Wenn das alles getan ist, kannst du das Produktivsystem in Angriff nehmen.


Grüße
Dani