9
PfSense DHCP Failover funktioniert nicht
Hallo,
aus irgendeinem Grund möchte das failover-Setup des DHCP nicht funktionieren. Sobald die Option in den Settings gesetzt wird, also die IP des anderen Nodes, werden keine DHCP-Leases mehr vergeben. Der DHCP stellt also komplett seinen Betrieb ein. Das steht dann in den Logs:
Davor steht dann noch die MAC-Adresse des Clients und die Schnittstelle des Nodes. Failover-State sagt folgendes:
Sobald ich dies wieder entferne, funktioniert es wieder, aber eben ohne Failover. Jemand eine Idee woran das liegt?
Edit: Mir fällt gerade auf, dass ich von keinem der Nodes das LAN-Interface anpingen kann... sollte das nicht normalerweise möglich sein? Firewall-Regeln sind gerade komplett offen, auch icmp, aber nichts.
aus irgendeinem Grund möchte das failover-Setup des DHCP nicht funktionieren. Sobald die Option in den Settings gesetzt wird, also die IP des anderen Nodes, werden keine DHCP-Leases mehr vergeben. Der DHCP stellt also komplett seinen Betrieb ein. Das steht dann in den Logs:
peer holds all free leases Davor steht dann noch die MAC-Adresse des Clients und die Schnittstelle des Nodes. Failover-State sagt folgendes:
- Uhrzeit beider Nodes überprüft
- Gateway und DNS-Server in den DHCP-Settings verweisen auf den CARP-VIP
- IP-Adressen im Failover stimmen auch
Sobald ich dies wieder entferne, funktioniert es wieder, aber eben ohne Failover. Jemand eine Idee woran das liegt?
Edit: Mir fällt gerade auf, dass ich von keinem der Nodes das LAN-Interface anpingen kann... sollte das nicht normalerweise möglich sein? Firewall-Regeln sind gerade komplett offen, auch icmp, aber nichts.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 456903
Url: https://administrator.de/contentid/456903
Printed on: April 23, 2024 at 21:04 o'clock
9 Comments
Latest comment
peer holds all free leases
Das heißt soviel wie "mein Partner DHCP Server verwaltet alle freien (DHCP)Leases"
Wenn die Firewall komplett offen ist (was sie ja eigentlich nicht sein sollte), müsstest du sie pingen können.
Hat die Firewall denn eine entsprechende Adresse in ihrem Subnetz (in dem auch die andere Failover-IP liegt)?
Funktionieren alle Netzwerkanschlüsse/Kabel?
EDIT: Kannst du von der PfSense deine Failoveradresse anpingen?
Gruß
Ketanest
pfsense Node1: 10.0.0.2/20
pfsense Node2: 10.0.0.3/20
Das sind die Adressen, aber ich kann das Interface der jeweils anderen Node nicht anpingen. Obwohl ich sogar testweise mal alles durchgelassen habe.
pfsense Node2: 10.0.0.3/20
Das sind die Adressen, aber ich kann das Interface der jeweils anderen Node nicht anpingen. Obwohl ich sogar testweise mal alles durchgelassen habe.
Zitat von @Fenris14:
pfsense Node1: 10.0.0.2/20
pfsense Node2: 10.0.0.3/20
Das sind die Adressen, aber ich kann das Interface der jeweils anderen Node nicht anpingen. Obwohl ich sogar testweise mal alles durchgelassen habe.
Dann ist entweder die Firewal verkonfiguriert oder kein Phsysischer Link da pfsense Node1: 10.0.0.2/20
pfsense Node2: 10.0.0.3/20
Das sind die Adressen, aber ich kann das Interface der jeweils anderen Node nicht anpingen. Obwohl ich sogar testweise mal alles durchgelassen habe.
Bei PfSense wird ja alles geblockt, was nicht explizit erlaubt ist.
Du musst die Regeln auch auf den richtigen Interfaces anlegen
Und: Die Regeln können sortiert werden
Versteh ich nicht. Die LAN-Interfaces der beiden Nodes stecken auf dem selben Switch und SYNC-Interface ist direkt angesteckt. Wobei man das SYNC-Interface bei DHCP-Failover nicht verwendet, sondern eben die LAN-Adressen.
Mehr als Any to Any geht nicht und da ist es egal wie die Reihenfolge ist, es sei denn weiter unten würde wieder eine Deny-Rule stehen... was nicht der Fall ist.
Muss ich eine statische Route einrichten?
Mehr als Any to Any geht nicht und da ist es egal wie die Reihenfolge ist, es sei denn weiter unten würde wieder eine Deny-Rule stehen... was nicht der Fall ist.
Muss ich eine statische Route einrichten?
Das ist sehr interessant. nein, da die IP Adressen beide im gleichen Netz liegen, müssten die sich gegenseitig "sehen", Route brauchste da keine.
Ist der Switched Managed? Ist das vielleicht was konfiguriert (VLANs oder so)?
Sind ggf. die IP Adressen doppelt vergeben? Also an andere Geräte?
Versuch doch tatsächlich mal (nur zu Debugging-Zwecken), das DHCP Failover über die SYNC-Interfaces zu binden.
Gruß
Ketanest
Ist der Switched Managed? Ist das vielleicht was konfiguriert (VLANs oder so)?
Sind ggf. die IP Adressen doppelt vergeben? Also an andere Geräte?
Versuch doch tatsächlich mal (nur zu Debugging-Zwecken), das DHCP Failover über die SYNC-Interfaces zu binden.
Gruß
Ketanest
VLAN´s sind keine konfiguriert. Switch ist unmanaged. Ich kann aber beide Interfaces beider Nodes von einem Client aus erreichen.
Doppelte IP habe ich gerade überprüft, nichts. Auch habe ich mal im DHCP-Setting die SYNC-Adressen verwendet, geht ebenfalls sofort in State "Recover".
Auszug aus dem Log:
Doppelte IP habe ich gerade überprüft, nichts. Auch habe ich mal im DHCP-Setting die SYNC-Adressen verwendet, geht ebenfalls sofort in State "Recover".
Auszug aus dem Log:
May 29 11:35:58 dhcpd failover peer dhcp_lan: I move from recover to startup
May 29 11:36:13 dhcpd failover peer dhcp_lan: I move from startup to recover
Ahh. Ok. Jetzt habe ich es erstmal hinbekommen das sich die Interfaces im selben Subnetz anpingen können. Schuld war eine NAT Rule, die hatte konfiguriert, weil ich anfangs Probleme mit OpenVPN hatte.
DHCP Failover steht aber weiterhin auf Recover.
DHCP Failover steht aber weiterhin auf Recover.
Ich habe jetzt im DHCP Log des Slave Nodes folgendes entdeckt:
Er scheint diese Bezeichnung nicht zu kennen... wie kann das sein? Wird doch alles per XMLRPC sychronisiert...
May 29 12:03:47 dhcpd /var/db/dhcpd.leases line 8: unknown failover peer: dhcp_lan Er scheint diese Bezeichnung nicht zu kennen... wie kann das sein? Wird doch alles per XMLRPC sychronisiert...
Heureka... das war ja eine Geburt. Aus irgendeinem Grund hat XMLRPC beim Skew für die CARP-VIP jeweils 100 dazu addiert. Habe ich so nie eingestellt.
Einer von denen muss aber mindestens unter 20 sein. Jetzt geht es. Hatte nie damit gerechnet, dass es dort einen Fehler gab und deshalb auch nicht überprüft.
Einer von denen muss aber mindestens unter 20 sein. Jetzt geht es. Hatte nie damit gerechnet, dass es dort einen Fehler gab und deshalb auch nicht überprüft.
