Carp und pfsync Konfiguration

asg

push it, don´t hype
Moin.

War heute dabei CARP/pfsync unter 5.4 zum rennen zu bewegen. Ich denke auch das es nun funktioniert wollte nur mal jemand anders einen Blick darauf werfen lassen ob das auch wirklich so stimmt (kam mir dann doch etwas einfach und schnell vor).

pf.conf
Code:
[...]
pass quick on { xl2 } proto pfsync
pass on { xl0 xl1 } proto carp keep state
[...]

/etc/rc.conf
Code:
[...]
# internet
ifconfig_xl0="inet 212.202.2xy.2xx  netmask 255.255.255.2xx"
# gateway
ifconfig_xl1="inet 212.202.2xy.2ab  netmask 255.255.255.2xx"
ifconfig_xl1_alias0="inet 192.168.3.11 netmask 255.255.255.0"
# redundanz
ifconfig_xl2="inet 192.168.1.11  netmask 255.255.255.0"

# carp, failover
cloned_interfaces="carp0 carp1"
network_interfaces="lo0 xl0 xl1 xl2 carp0 carp1 pfsync0"
ifconfig_carp0="vhid 1 pass foo 212.202.2xy.2xx  netmask 255.255.255.2xx"
ifconfig_carp1="vhid 2 pass bar 212.202.2xy.2ab  netmask 255.255.255.2xx"
ifconfig_pfsync0="up syncif xl2"

Bis auf xl2 ist auf dem anderen Server die Konfiguration der IPs identisch.
Achja, und carp1 ist auf dem zweiten Server:
Code:
ifconfig_carp1="vhid 2 pass bar advskew 100 212.202.2xy.2ab netmask 255.255.255.2xx"

Nachdem ich beide Server neu gestartet hatte dachte ich schon ich müsse in den Keller, das klappt nie. Doppele IPs. Nene.
Aber dann, kein Problem. login möglich, ping möhglich. Its magic.

Dann den master runtergefahren und siehe da, login via 212.202.2xy.2ab war möglich. Nachdem der master wieder da war habe ich mich wieder auf 212.202.2xy.2ab eingeloggt und kam wieder auf dem master raus.

Scheint also zu funkionieren, wobei morgen der wirkliche Test kommt.

Ist das denn nun alles so richtig, ich zweifle immer noch etwas.
 
Zufälle gibt es...

habe vor vier Stunden erst das Paper zu Carp ausgedruckt um mich einzulesen. Der Druckerraum war leider, wie so oft um diese Zeit verschlossen. Pech. OK, das hilft dir nicht ein Stück weiter, aber ich meine schon dass Carp relativ einfach konzipiert ist.

Vielleicht hat schon jemand von remoteCarp gehört?
Ist eine Entwicklung aus deutschen Landen, soweit ich weiß. Die Firma Genua finanziert ein paar fähige Köpfe und das begrüße ich sehr.

Zurück zur Frage. Ich werde mich demnächst mit Firewallredundanz auseinander setzen müssen und dann können wir vielleicht einige Gedanken austauschen.
 
@morph
Ich bin nicht wirklich schlau geworden aus der manpage und habe es mehr oder weniger nach gutdünken umgesetzt. Es scheint auch zu funktionieren wenn beiden Server, wie bei uns, die gleichen IPs bekommen. Bis auf xl2 welches via crossover miteinander verbunden ist und für das pfsync nötig.
Also wenn obiges von mir so 100%ig stimmt, dann ist das sehr einfach und kann so (bis auf die IPs logischerweise) übernommen werden.
 
@asg
Die Manpage sagt wirklich nicht viel aus, aber beim googeln habe ich ein bis zwei gute Seiten zu Carp und pfsync gefunden. Kann morgen mal nach den Links schauen. Ansonsten muss man halt das RFC heranziehen. Bin leider noch nicht Fit mit Carp, da ich bisher nur HSRP benutzt habe und kann ab morgen auch nur bedingt helfen, da mir die praktische Erfahrung im Umgang mit Carp fehlt.
 
Mir war die Adressvergabe, also die der IPs nicht so ganz klar. Aber mal sehen, bisher sieht es gut aus.
 
Back
Top