Verbindungsprobleme über Bridge
- Ersteller dee0x400
- Erstellt am
Ah, also ist es möglich.
Eine Quelle berichtete über ein IP-Muss an den einzelnen Netzerkinterfaces.
Wobei die Vorteile der Bridge mit ner IP ja auch wieder dahin wären.
Mhhh, mal so ne Frage zu carp ...
Also ich hab carp mit pfsync am laufen (zwischen zwei Rechnern).
Ich beginne einen großen Download und der traffic geht über die Masterfirewall.
Wenn ich die jetzt reboote, dann läuft der Download weiter, jedoch über die Backupfirewall (so weit so gut).
Wenn jetzt die Masterfirewall wieder online kommt, will Sie ja wieder übernehmen (das müsste dann pfsync bulk update sein).
Dieses funktioniert aber nur manchmal (?), meistens garnicht, also der Download bleibt hängen.
Gestern tauchte dieses Problem nicht auf.
Meinst du sowas?
oenone
Well-Known Member
Magic Smoke...
hi
vieleicht solltest du dir erstmal klar machen das carp und pfsync ansich nix
mit einander zu tun haben.
pfsync syncronisiert die state der pf firewall in realtime auf eine 2 maschine.
wenn du eine gebridge ha loesung willst empfehle ich dir das ohne carp zu machen,
und mit den prioritaet der einzelenen bridge im spanning tree.
carp schickt seine mac addr an den arp des jeweiligen interface wo ran es
gebunden ist , was bei einer bridge den effekt hat das die mac bzw die ip
von einer seite nicht erreichbar ist.
man kann nun hingehen 1 interface mit vlan aufslitten 1x in die bridge
und 1x als normales interface mit carp dann aber das ist trick mit der konfiguration
da du im im zweifel auch am switch dinge konfigurieren musst.
also bridge + pfsnc in ha mit configurierten spanning tree.
sollte die wahl sein , in deiner situation.
holger
Da geb ich dir Recht und es ist mir auch bewußt (carp != pfsync).
Aus diesem Grund hab ich auch die Bridge ''ausgebaut'' (wie auch deine Empfehlung lautet).
Es wäre auch ziemlich unsinnig von der Sache und sehr unhöflich von mir, anstatt tutorials durchzuarbeiten und sich der Sache bewußt zu werden, einfach Dinge zu kombinieren und Hilfe zu erhoffen.
Wollte euch nur an meinen Erfahrungen/Einblicke teilhaben lassen, da ich solche Entwicklungen immer sehr Spannend finde.
Also im Grunde hab ich nun einen solchen Testaufbau (Beispiel 1) und dort konnte ich an Tag 1 keine Probleme feststellen. An Tag 2 dann wie beschrieben, bei der Rückkehr der Master-Firewall brach der Clienttraffic ein (kein pfsync-bulk-update zwischen Master- und Backupfirewall). Tag 3 wird dann wohl am Montag kommen.
wichtig ist das du pf regeln hast die
und wenn es nur eine
pass on bridge proto tcp from any to any
ist
weil sonst sync 't pfsnc nicht , logisch oder , uder der download bricht ab wie beschrieben.
im uebrigen kannst du auf der backup maschine pruefen on der pf sync laeuft
pfctl -ss .. es muessen alle states der master maschine vorhanden seine jedoch packetcounter = 0
hast du keine states bricht der doenload wie beschrieben ab.
holger
und wenn es nur eine
pass on bridge proto tcp from any to any
ist
weil sonst sync 't pfsnc nicht , logisch oder
, uder der download bricht ab wie beschrieben.im uebrigen kannst du auf der backup maschine pruefen on der pf sync laeuft
pfctl -ss .. es muessen alle states der master maschine vorhanden seine jedoch packetcounter = 0
hast du keine states bricht der doenload wie beschrieben ab.
holger