4
Pfsense Virtual IP funktioniert nicht
Hallo zusammen,
ich habe testweise einen pfsense HA-Cluster (Version 2.7.2) aufgebaut, welcher auch einwandfrei funktioniert. Die Einstellungen werden übernommen und auch die erste Virtual IP wird auf der anderen FW aktiviert, wenn ich die Erste herunterfahre und im Gegenzug auch brav wieder als "backup" hinterlegt, wenn die erste FW wieder da ist.
Die erste Maschine habe ich erstellt, indem ich aus einer alten Pfsense ein Backup erstellt habe und dies in eine frisch installierte pfsense eingespielt habe. Mit der zweiten Maschine. habe ich das gleiche gemacht und entsprechend die IPs auf den Interfaces individualisiert. Beide FW sind über ein dediziertes Interface verbunden.
Besonderheit ist, dass beide FWs virtualisiert laufen, die Hardware darunter ist genau baugleich. Virtualisiert wird unter proxmox, die Interfaces werden direkt in die VMs reingereicht. Die Softwareversion von proxmox ist jeweils 8.2.7.
Was allerdings ganz seltsam ist (zumindest für mich), dass die erste Virtuelle IP einwandfrei funktioniert, wie oben beschrieben. Wenn ich aber auf einem anderen Interface eine VIP anlegen möchte, wird unter CARP-Status auf beiden Seiten nur "INIT" angezeigt. Ich habe bereits x Stunden investiert und unterschiedliche VIPs angelegt, aber ich komme nicht vom Fleck.
Vielleicht hat ja jemand eine Idee.
CARP Status
FW1
FW2
VIP LAN => funktioniert
FW1
FW2
VIP WLAN => funktioniert nicht
FW1
FW2
ich habe testweise einen pfsense HA-Cluster (Version 2.7.2) aufgebaut, welcher auch einwandfrei funktioniert. Die Einstellungen werden übernommen und auch die erste Virtual IP wird auf der anderen FW aktiviert, wenn ich die Erste herunterfahre und im Gegenzug auch brav wieder als "backup" hinterlegt, wenn die erste FW wieder da ist.
Die erste Maschine habe ich erstellt, indem ich aus einer alten Pfsense ein Backup erstellt habe und dies in eine frisch installierte pfsense eingespielt habe. Mit der zweiten Maschine. habe ich das gleiche gemacht und entsprechend die IPs auf den Interfaces individualisiert. Beide FW sind über ein dediziertes Interface verbunden.
Besonderheit ist, dass beide FWs virtualisiert laufen, die Hardware darunter ist genau baugleich. Virtualisiert wird unter proxmox, die Interfaces werden direkt in die VMs reingereicht. Die Softwareversion von proxmox ist jeweils 8.2.7.
Was allerdings ganz seltsam ist (zumindest für mich), dass die erste Virtuelle IP einwandfrei funktioniert, wie oben beschrieben. Wenn ich aber auf einem anderen Interface eine VIP anlegen möchte, wird unter CARP-Status auf beiden Seiten nur "INIT" angezeigt. Ich habe bereits x Stunden investiert und unterschiedliche VIPs angelegt, aber ich komme nicht vom Fleck.
Vielleicht hat ja jemand eine Idee.
CARP Status
FW1
FW2
VIP LAN => funktioniert
FW1
FW2
VIP WLAN => funktioniert nicht
FW1
FW2
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668382
Url: https://administrator.de/contentid/668382
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
4 Kommentare
Neuester Kommentar
Auf der darunterliegenden Hypervisor Infrastruktur sprich bei dir Proxmox muss auf dessen vSwitch das WLAN Interface in ein separates VLAN oder, sofern vorhanden, auf jeweils eine dedizierte NIC gelegt werden.
Die NICs bzw. das VLAN müssen dabei zwingend in einer Layer 2 Domain liegen. Ist das sichergestellt?
Siehe HIER und auch HIER was ein VLAN basiertes Setup anbetrifft.
Die beiden physischen WLAN Interface IP Adressen und auch die dazu korrespondierende VIP müssen auf diesem Layer 2 Netz egal ob physisch oder VLAN pingbar sein sofern das Regelwerk am WLAN Interface entsprechend angepasst ist!
Der INIT Status zeigt das beide WLAN Interfaces sich aus Layer 2 Sicht nicht "sehen", also L2 technisch getrennt sind.
Die NICs bzw. das VLAN müssen dabei zwingend in einer Layer 2 Domain liegen. Ist das sichergestellt?
Siehe HIER und auch HIER was ein VLAN basiertes Setup anbetrifft.
Die beiden physischen WLAN Interface IP Adressen und auch die dazu korrespondierende VIP müssen auf diesem Layer 2 Netz egal ob physisch oder VLAN pingbar sein sofern das Regelwerk am WLAN Interface entsprechend angepasst ist!
Der INIT Status zeigt das beide WLAN Interfaces sich aus Layer 2 Sicht nicht "sehen", also L2 technisch getrennt sind.
1
Tja, es tut mir leid. Ich bin da von anderen Vorraussetzungen ausgegangen. Um es auf den Punkt zu bringen, die beiden Interfaces, die jeweils verschiedene VLANs enthalten, habe ich nicht per Kabel verbunden. In meiner kleinen Welt bin ich dummerweise davon ausgegangen, dass die Sync-Verbindung zwischen den beiden FWs ausreicht, damit die VIPs auf der jeweiligen Seite konfiguriert/aktiviert werden kann, unabhängig davon ob die Maschinen verbunden sind.
Es fehlte also "nur" das Kabel zwischen den beiden Maschinen. Nachdem dies gesteckt war, hat sofort alles funktioniert.
Vielen Dank für die Hilfe!
Es fehlte also "nur" das Kabel zwischen den beiden Maschinen. Nachdem dies gesteckt war, hat sofort alles funktioniert.
Vielen Dank für die Hilfe!
@CarstenKl
OFF TOPIC
Rein aus Interesse, hatte es ein bestimmten Grund warum du pfsense und nicht OPNsense gewählt hattest?
OFF TOPIC
Rein aus Interesse, hatte es ein bestimmten Grund warum du pfsense und nicht OPNsense gewählt hattest?
Ich habe dir mal direkt geantwortet, da ich hier keine Diskussion pfsense vs opnsense lostreten mag.
1
