5
PfSense CARP
Hallo,
bin gerade dabei ein HA-Cluster aufzubauen und da kommt bei mir unweigerlich eine Frage auf, diese konnte mir leider auch die Doku von Netgate nicht beantworten.
Generell ist es ja so, dass man die LAN-Schnittstelle mit einer Adresse konfiguriert hat, beide Boxen haben also jeweils eine Adresse im gleichen Subnetz und mit der CARP-Adresse wird einfach eine weitere virtuelle IP belegt - ebenfalls im selben Subnetz. Jetzt ist es so das ich das in bereits bestehende Struktur einbauen muss, also bereits verschiedene virtuelle IP´s eingetragen sind. Kann ich diese einfach alle zu einer CARP-Adresse umwandeln, oder müssen auch in diesen Subnetzen jeweils dedizierte IP-Adressen der beiden pfSense-Boxen bestehen?
Beispiel:
Subnetz 10.10.10.0/24
vorherige virtuelle IP bei nur einer pfSense 10.10.10.1
Umwandlung in CARP-Adresse 10.10.10.1
Müssen die beiden Boxen jeweils noch weitere Adressen in diesem Subnetz haben? Also 10.10.10.2 für pfsense-Box1 und 10.10.10.3 für pfsense-Box2 als einfach virtuelle IP-Adressen?
Die Schwierigkeit besteht darin, dass ich es bereits in eine laufende Umgebung integrieren soll und nicht einfach mal ausprobieren kann. Eventuell paar Tipps worauf ich noch achten sollte?
Würde mich über Hilfe sehr freuen.
Gruß
bin gerade dabei ein HA-Cluster aufzubauen und da kommt bei mir unweigerlich eine Frage auf, diese konnte mir leider auch die Doku von Netgate nicht beantworten.
Generell ist es ja so, dass man die LAN-Schnittstelle mit einer Adresse konfiguriert hat, beide Boxen haben also jeweils eine Adresse im gleichen Subnetz und mit der CARP-Adresse wird einfach eine weitere virtuelle IP belegt - ebenfalls im selben Subnetz. Jetzt ist es so das ich das in bereits bestehende Struktur einbauen muss, also bereits verschiedene virtuelle IP´s eingetragen sind. Kann ich diese einfach alle zu einer CARP-Adresse umwandeln, oder müssen auch in diesen Subnetzen jeweils dedizierte IP-Adressen der beiden pfSense-Boxen bestehen?
Beispiel:
Subnetz 10.10.10.0/24
vorherige virtuelle IP bei nur einer pfSense 10.10.10.1
Umwandlung in CARP-Adresse 10.10.10.1
Müssen die beiden Boxen jeweils noch weitere Adressen in diesem Subnetz haben? Also 10.10.10.2 für pfsense-Box1 und 10.10.10.3 für pfsense-Box2 als einfach virtuelle IP-Adressen?
Die Schwierigkeit besteht darin, dass ich es bereits in eine laufende Umgebung integrieren soll und nicht einfach mal ausprobieren kann. Eventuell paar Tipps worauf ich noch achten sollte?
Würde mich über Hilfe sehr freuen.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 456465
Url: https://administrator.de/contentid/456465
Printed on: April 16, 2024 at 09:04 o'clock
5 Comments
Latest comment
Hallo Fenris,
ich habe vor kurzem ein HA Cluster mit Opnsense konfiguriert, war mit dem entsprechenden Anleitungen nicht mega schwierig, aber die Eier es in einer Live Umgebung zu konfigurieren hätte ich nicht gehabt
Du solltest schon, wenn möglich eine Downtime mit einplanen, für den Fall der Fälle.
Also bei mir ist es so das meine internen IP Adressen in etwa so aufgebaut sind:
Firewall 1: 192.168.1.253
Firewall 2: 192.168.1.252
Virtuelle CARP Adresse: 192.168.1.254
Die Virtuelle IP Adresse ist dann auch das Standard Gateway für die Clients.
ich habe vor kurzem ein HA Cluster mit Opnsense konfiguriert, war mit dem entsprechenden Anleitungen nicht mega schwierig, aber die Eier es in einer Live Umgebung zu konfigurieren hätte ich nicht gehabt
Du solltest schon, wenn möglich eine Downtime mit einplanen, für den Fall der Fälle.
Also bei mir ist es so das meine internen IP Adressen in etwa so aufgebaut sind:
Firewall 1: 192.168.1.253
Firewall 2: 192.168.1.252
Virtuelle CARP Adresse: 192.168.1.254
Die Virtuelle IP Adresse ist dann auch das Standard Gateway für die Clients.
Zitat von @SomebodyToLove:
aber die Eier es in einer Live Umgebung zu konfigurieren hätte ich nicht gehabt
Du solltest schon, wenn möglich eine Downtime mit einplanen, für den Fall der Fälle.
aber die Eier es in einer Live Umgebung zu konfigurieren hätte ich nicht gehabt
Du solltest schon, wenn möglich eine Downtime mit einplanen, für den Fall der Fälle.
Downtime ist schon vorgesehen, heute Abend 22 Uhr geht es weiter mit der Konfiguration. Ich will halt vermeiden, dass ich doppelte Arbeit habe und es möglichst in einem Rutsch richtig mache.
Hast du mehrere Subnetze an der LAN? Haben die dann ebenfalls immer alle drei Adressen drin?
also bereits verschiedene virtuelle IP´s eingetragen sind.
Was soll das sein ! IP Adressen auf virtuellen VLAN Interfaces oder wie ist das zu verstehen ??Du wirst ja wohl hoffentlich nicht mit mehreren IP Adressen auf einem Draht arbeiten, oder ?
Es ist exakt so wie Kollege @somebody... beschrieben hat.
Die CARP Funktion ist quasi so wie VRRP:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
2 mal das physische Interface der jeweiligen FWs und beide Systeme sharen eine VIP (Virtual IP) im selben Segment und ARPen auf diese. In jedem IP Segment müssen die Endgeräte also diese jeweilige VIP "sehen", denn das ist ihr Default Gateway dann.
Hat alles geklappt und auch so wie ich es vermutet habe.
Es ging darum: Wenn ich im LAN mehrere verschiedene Subnetze habe, müssen die Boxen nicht in jedem von dem noch extra ein Standbein in diesem haben, sondern einfach nur unter Firewall>Virtual IP eine CARP-VIP. Funktioniert ausgezeichnet.
Es ging darum: Wenn ich im LAN mehrere verschiedene Subnetze habe, müssen die Boxen nicht in jedem von dem noch extra ein Standbein in diesem haben, sondern einfach nur unter Firewall>Virtual IP eine CARP-VIP. Funktioniert ausgezeichnet.
Wenn ich im LAN mehrere verschiedene Subnetze habe, müssen die Boxen nicht in jedem von dem noch extra ein Standbein in diesem haben
Sorry, aber diese Formulierung ist und bleibt unverständlich !!!Normal macht man das mit VLANs. So ist es sauber und üblich. Du hast dann zwar keine "mehreren" Beine in diesen Subnetzen aber eben eins mit einem 802.1q VLAN Tagging wie es hier beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit sind die VLANs mit den entsprechenden Subnetzen sauber getrennt und du hast sehr wohl, wenn man es so will, ein Bein in jedem Subnetz. Das "Bein" ist dann zwar virtuell, da ein virtuelles VLAN Interface auf der FW, es ist aber immer ein Bein pro Subnetz.
Ist ja auch klar, denn primär ist die Firewall ein Router und logischerweise muss die natürlich ein Bein in jedem Subnetz haben um diese Netze routen zu können. Anders kann es ja nicht gehen !
Was de facto nicht geht und ein fataler Design Fehler wäre, ist wenn du du mit mehreren IP Netzen auf einem gemeinsamen Draht arbeitest.
Sprich du hast eine gemeinsame Layer 2 Collision Domain (L2 Netz) und fährst auf diesem mit mehreren IP Netzen.
Sowas wäre ein gravierender Verstoß gegen den TCP/IP Standard, denn sowas ist nicht definiert !
Allein das gesamte ICMP Handling, also IP und TCP Fluss Steuerung würde nicht mehr funktionieren. Sowas führt zu gravierenden Folgefehlern im Betrieb. Mal abgesehen von der Tatsache das sowas immer ein falsches und laienhaftes IP Design bzw. fehlende Segmentierung darstellt.
Man kann also nur raten bzw. hoffen das du sowas genau NICHT meinst ?! Die Formulierung ist so schwammig das man sie nicht genau versteht was du da nun wirklich machst ?!
1