Toon posts:

OPNsense High Availabilityprobleem met virtual IP/WAN/LAN

Pagina: 1
Acties:

  • hansdegit
  • Registratie: Februari 2005
  • Laatst online: 21:34
Sinds een aantal maanden draai ik naar volle tevredenheid een OPNsense firewall in een VM op ESXi. Gaat allemaal hartstikke leuk.
Nu wilde ik bij wijze van experiment eens een HA clustertje opzetten. Juist omdat er door mijn geklooi in het netwerk af en toe wel eens pubers zonder netwerk naar beneden stormen. De concepten van HA zijn mij grotendeels duidelijk. Denk ik.

Ik heb wat op het internet rondgestruind en kwam op deze bouwplannen:
https://docs.opnsense.org/manual/how-tos/carp.html
https://vorkbaard.nl/how-...lity-hardware-redundancy/
https://www.thomas-krenn...._HA_Cluster_configuration

Ik heb het als volgt opgezet:
http://nippledialer.com/GoT/topology.jpg

Je ziet, een ESX op links, een ESX op rechts. Een KPN modem waarin beide OPNsense VM's een fixed IP hebben. Op de KPN box zie ik ook het WAN VIP "aangesloten" zijn.

Groen = LAN
Bruin = SYNC netwerkje (via vmware virtual switch)
Indigo = WAN naar KPN box.

Je zult snappen dat er op het LAN nog eea aan switches draait, maar dat zou het plaatje een beetje druk maken.

Hier de definitie van mijn Virtual IP's:
http://nippledialer.com/GoT/VIPS.JPG

In het plaatje is de firewall links de backup (momenteel niet de eigenaar van de VIPS):
http://nippledialer.com/GoT/status_OPNsense1.JPG

De Firewall rechts is momenteel de master:
http://nippledialer.com/GoT/status_OPNsense2.JPG

Ik heb sterk het vermoeden dat er iets in de rules niet helemaal pluis is. Hier de rules voor de SYNC interface:
http://nippledialer.com/GoT/rules_SYNC.JPG

De WAN rules:
http://nippledialer.com/GoT/rules_WAN.JPG

LAN:
http://nippledialer.com/GoT/rules_LAN.JPG

Ik snap dat je het translation address van de NAT regels moet aanpassen. Deze zijn als volgt:
http://nippledialer.com/GoT/NAT_Outbound.JPG


In mn Windows client heb ik vervolgens handmatig mn IP gezet en het gateway adres op het LAN Virtual IP gezet. Gevolg: geen connectiviteit; ik kan alleen de LAN adressen benaderen. Ook het LAN VIP is niet te pingen.

Vervolgens naar de Master OPNsense node gegaan om te zien of daar eea te pingen is. Jawel:
- LAN VIP is pingbaar
- WAN VIP is pingbaar
- KPN router is pingbaar

Maw: er gaat iets vreselijk mis tussen de client en de gedefinieerde VIPs, maar met mijn beperkte netwerkkennis kom ik er niet uit (ben toch meer een databaseboer...)

Ik ben zo benieuwd wat ik nu fout heb gedaan... De SYNC interface doet wat -ie moet doen, ik krijg nergens foutmeldingen en de synchronisatie tussen de firewalls draait soepeltjes.
De afzonderlijke firewalls draaien ook prima (met default NAT regels) , maar zodra ik mn client iets laat doen via de VIPs gaat het mis.

Gitje's Stroomfabriek: 6095 Wp Yingli Panda, 2520 Wp Suntech, Tigo Monitoring & Schaduwmanagement, Kostal Piko 10.1



Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee