Bocsánat a hosszú szövegért - szeretném ha világos lenne a helyzet.
Van nekem két OPNsense tűzfalam HA rendszerbe összefogva.
Mindkettőn a LAN interface-en vannak VLAN interface-ek.
Mindkettőn megy a DHCP és válaszolnak is mindketten a kérésre.
Itt jön a csavar:
A két válasz teljesen megegyezik kivéve a netmaskot. Az egyik 255.0.0.0 a másik 255.255.255.0-t mond.
Az utóbbi a helyes.
Emiatt a kliens attól függően, hogy melyiket hallja előbb hol jó lesz hol nem.
Amit eddig csináltam:
Ellenőriztem az összes interface-en a netmaskokat a GUI-ban - OK és egyforma
Megnéztem a konzolon az interface-ek netmaskját ifconfiggal - OK és egyforma
Megnéztem a DHCP lapon, hogy mit fog hirdetni - OK és egyforma
Lementettem mindkét konfigot xml-be és diffeltem - OK és egyforma (kivéve ahol különbözőnek kell lenni)
Csináltam friss ropogós VLAN interface-t azon is ugyanez a helyzet.
Bár nem logikus, hogy segítene, de megnéztem, ha cserélek master és slave között akkor nem költözik át a hülyeség a másikra.
Konkrétabb információ:
A Master a rossz.
Master Slave
LAN IP 10.0.0.11 10.0.0.12
LAN mask 255.0.0.0 255.0.0.0
VLAN IP 172.20.1.2 172.20.1.3
VLAN mask 255.255.255.0 255.255.255.0
Vannak még interface-ek a szinkronizáláshoz és az egyes interface-eknek van CARP címe is.
Ezek jók.
A wireshark ezt látja a kliensen:
Kimegy egy DHCP request amire jön két ACK a két géptől:
Első:
Dhcp Server Identidier (Option 54): 172.20.1.2
Netmask (Option 1): 255.0.0.0
Második:
Dhcp Server Identidier (Option 54): 172.20.1.3
Netmask (Option 1): 255.255.255.0
Ami gyanús és nem értem, hogy a két szerver más lease time-ot ad meg
(a master rövidebbet a slave hosszabbat).
Megnézve a két képen a lease létezi, de más kezdeti és végidőpontokkal.
A lease táblának nem kellene szintén szinkronizálódni a HA-ban?
- 335 megtekintés
Hozzászólások
Jól értem, hogy ugyanabban a hálózati szegmensben szeretnél két különböző DHCP szervert azonos pool-lal? Vagy a HA miatt ennek egynek kéne lennie?
Így konfiguráltad? https://www.thomas-krenn.com/en/wiki/OPNsense_HA_Cluster_configuration
- A hozzászóláshoz be kell jelentkezni
Az általad említett doksi alapján konfiguráltam.
Azt hiszem jól érted.
A cél a HA működés azaz ha lehal a master a slave lépjen a helyére és adjon IP címeket ugyanabból a poolból.
Úgy tűnik, hogy az OPNsense úgy valósítja meg, hogy mindkét gépen megy a DHCP párhuzamosan és válaszolnak a kérésekre mindketten ugyanazt, amiatt mert szinkronban van az állapotuk.
Ha a masteren felveszek egy statikus lese-t az át is megy szépen a slave-re, tehát van valamilyen szinkronizálás.
Mióta kérdeztem fejlődött a tudomány és beírtam a master DHCP szervernek a slave IP címét failovernek és a lease time-ok most szinkronban vannak.
Az én problémám elsősorban az, hogy nem ugyanazt mondják, mert bár az IP amit kínálnak ugyanaz, de az egyik rossz netmaskot hirdet amit a fene tudja honnan vesz elő (talán a LAN interface-ét ami fölött a VLAN van) és ha már elővesz valami rosszat akkor a másik miért jó?
A GUI-n mindkét szerveren a jó netmask van csak az egyik nem azt, hanem egy rosszat hirdet.
- A hozzászóláshoz be kell jelentkezni
ellenőrizném a dhcpd configokat is, netmask GUI felületen volt gond, és egy helyen elrontottad, akkor nem generálta a configot!
- A hozzászóláshoz be kell jelentkezni
A netmask a DHCP GUI-n látszik, de nem változtatható - szerintem az interface netmaskot veszi át igen helyesen.
Csináltam olyat, hogy a config-ot letöltöttem XML-ben és elolvastam. Itt sem szerepel a netmask a DHCP konfig részbencsak az interface-nél és ott meg jó.
Hétfőn kipróbálom. hogy leállítom és elindítom a VLAN interface-t. Bár kételyeim vannak, mert csináltam egy teljesen új VLAN interfacet és azon is jelentkezett a hiba, sőt a teljes újraindítást is kibírja.
- A hozzászóláshoz be kell jelentkezni
Esetleg az is segíthat, ha teljesen kikapcsolod a DHCP szolgáltatást, aztán újra be, ezzel - elvileg - újtra generálja és teríti a konfigokat.
- A hozzászóláshoz be kell jelentkezni
Hétfőn kipróbálom.
- A hozzászóláshoz be kell jelentkezni
A CARP/vIP, sync interfész és az alap HA beállítások a konfig szikronizálás miatt kell. De a DHCP ettől még nem lesz HA, és csak egyszerre fognak működni, ahogy írod, ami nem jó.
Minden egyes interfészen (aminél szeretnéd, hogy HA legyen a DHCP) be kell írni mindkét gépen a DHCP szerver beállításaiba a failover IP címet, ami a másik gép azon interfészen értelmezhető IP címe kell legyen (nem a vIP, nem a sync IP, semmi más).
Amennyiben a két DHCP szerver így fel tudja venni egymással a kapcsolatot, akkor fogják a lease DB-t szinkronizálni, és a DHCP kiszolgálást egyeztetni. Ilyenkor a master-en beállított kiszolgálási arány fog érvénybe lépni (alapból 50-50).
- A hozzászóláshoz be kell jelentkezni
Igazad van. Tegnap rájöttem erre és beírtam. Eddig azért nem okozott problémát, mert az IP-k az ideiglenesektől eltekintve statikusan vannak a MAC-hez rendelve és a konfig meg szinkronizálódik.
Sajnos a netmask problémát nem oldja meg és ez a fő rejtély.
- A hozzászóláshoz be kell jelentkezni