bofh_hannibal
THE BOFH
HI,
ich hab eher ein Spezielle hartes Problem mit FreeBSD 6.0 Released.
Folgendes.
Wir haben einen FW Cluster aufgesetzt mit FSB6 + pfsync + carp + pf.
Die Beiden Maschinen machen zudem noch Arp.Balance.
Das Arpbalance und Failover funktionieren einwandfrei.
Die beiden Maschinen sind als Router / Filter aufgesetzt.
Aber. Das PFsync ist einfach zu langsam bei der Syncronisierung der States.
Wenn ich einen ping (icmp) an einen Host hinter dem FW Cluster mache.
Dann geht das erste Packet durch den 1. Cluster zum Zielhost.
Das Rückpacket geht (dank arp.balance) über die 2. FW Maschine.
Jetzt ist aber das Problem das das pfsync zulangsam ist, als das die 2. Maschine den State schon von der ersten hat. Somit kommt sofort die Block Rule.
Die folge Pings gehen dann durch.
Ich denke das ist ein BUG in der Implementierung von dem pfsync.
Server umsetzung:
LAN 1: 20.10.1.0/24 -> novlan
LAN 2: 50.10.1.0/24 -> VLAN 50
interface belegung.
FW1:
em0: 20.10.1.10/24
em1: 40.10.1.10/24
vlan50: 50.10.1.10/24
carp10: 20.10.1.254/24 Master
carp11: 20.10.1.254/24 Backup
carp50: 50.10.1.254/24 Master
carp51: 50.10.1.254/24 Backup
fxp0: 1.1.1.1/24 crossover <-> FW2
pfsync: 1.1.1.1/24 Interface fxp0
em0: 20.10.1.11/24
em1: 40.10.1.11/24
vlan50: 50.10.1.11/24
carp10: 20.10.1.254/24 Master
carp11: 20.10.1.254/24 Backup
carp50: 50.10.1.254/24 Master
carp51: 50.10.1.254/24 Backup
fxp0: 1.1.1.2/24 crossover <-> FW2
pfsync: 1.1.1.2/24 Interface fxp0
Ohne Arp.Balance also nur Failover funktioniert alles perfekt.
An den PF Rules liegt es nicht, denn im nicht arp.b modus funktionieren die Rules.
Kennt einer vielleicht das Problem, und wenn ja, wo kann man es ohne rückrules zu schreiben, beheben ?
PS: Für richtiges Netzwerk braucht man eben OpenBSD :-)
ich hab eher ein Spezielle hartes Problem mit FreeBSD 6.0 Released.
Folgendes.
Wir haben einen FW Cluster aufgesetzt mit FSB6 + pfsync + carp + pf.
Die Beiden Maschinen machen zudem noch Arp.Balance.
Das Arpbalance und Failover funktionieren einwandfrei.
Die beiden Maschinen sind als Router / Filter aufgesetzt.
Aber. Das PFsync ist einfach zu langsam bei der Syncronisierung der States.
Wenn ich einen ping (icmp) an einen Host hinter dem FW Cluster mache.
Dann geht das erste Packet durch den 1. Cluster zum Zielhost.
Das Rückpacket geht (dank arp.balance) über die 2. FW Maschine.
Jetzt ist aber das Problem das das pfsync zulangsam ist, als das die 2. Maschine den State schon von der ersten hat. Somit kommt sofort die Block Rule.
Die folge Pings gehen dann durch.
Ich denke das ist ein BUG in der Implementierung von dem pfsync.
Server umsetzung:
LAN 1: 20.10.1.0/24 -> novlan
LAN 2: 50.10.1.0/24 -> VLAN 50
interface belegung.
FW1:
em0: 20.10.1.10/24
em1: 40.10.1.10/24
vlan50: 50.10.1.10/24
carp10: 20.10.1.254/24 Master
carp11: 20.10.1.254/24 Backup
carp50: 50.10.1.254/24 Master
carp51: 50.10.1.254/24 Backup
fxp0: 1.1.1.1/24 crossover <-> FW2
pfsync: 1.1.1.1/24 Interface fxp0
em0: 20.10.1.11/24
em1: 40.10.1.11/24
vlan50: 50.10.1.11/24
carp10: 20.10.1.254/24 Master
carp11: 20.10.1.254/24 Backup
carp50: 50.10.1.254/24 Master
carp51: 50.10.1.254/24 Backup
fxp0: 1.1.1.2/24 crossover <-> FW2
pfsync: 1.1.1.2/24 Interface fxp0
Ohne Arp.Balance also nur Failover funktioniert alles perfekt.
An den PF Rules liegt es nicht, denn im nicht arp.b modus funktionieren die Rules.
Kennt einer vielleicht das Problem, und wenn ja, wo kann man es ohne rückrules zu schreiben, beheben ?
PS: Für richtiges Netzwerk braucht man eben OpenBSD :-)