Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem mit Auxiliary nach Failover

Hallo zusammen,

frohes Neues Euch. Ich bin in dem Bereich Sophos noch neu und komme von pfSense.

Ich habe mir die Sophos OVA heruntergeladen und in der VMWare importiert und soweit alles eingerichtet. Nach dem dann alle Regeln übernommen wurden, hab ich die OVA noch einmal auf dem zweiten Host importiert und wollte dann das HA einrichten. Nach etwas Anlaufschwierigkeiten, hat das dann aber auch funktioniert.

Beide sind miteinander verbunden und zeigen keine Fehler. Nun provoziere ich einen Ausfall der Master VM in dem ich diese herunterfahre. Die zweite bemerkt das nach kurzer Zeit und alle Zugriffe funktionieren wieder. Test soweit erfolgreich, auch wenn die Übernahme durch den Auxiliary Partner länger dauert als bei der Sense.

Nun starte ich den eigentlichen Master wieder. Er fährt hoch, dieser übernimmt die Masterrolle wieder, der Auxiliary Partner startet neu (soll das so sein?) und nun kommt mein Verständnisproblem oder aber der Fehler.

Der Master hat die IP 10.1.10.250 und der Auxiliary hat die 10.1.10.251. Beides auf dem Port A. HA Link liegt bei beiden auf Port J. Nach dem Neustart des Auxiliary hat dieser immer noch die 10.1.10.250 und der Master zeigt einen Fehler im HA. Verständlich, da er eigentlich eine andere IP anfragt, die aktuell nicht erreichbar ist.

Sobald ich mit auf dem Auxiliary einlogge und über die Konsole dann mit ifconfig PortA 10.1.10.251 netmask....... den Port temp. umkonfiguriere, ist wieder alles gut, aber das kann doch eigentlich nicht sinn der Sache sein, oder? Der Auxiliary müsste doch immer in unter der 251 erreichbar sein oder übernimmt sie diese IP solange der Master nicht da ist und passt sich dann wieder an, wenn alles im Normalzustand ist?

Softwarestand ist SFOS 19.5.3 MR-3-Build652 und lizensiert ist sind sie als Home.

Hoffentlich kann mir hier jmd. weiterhelfen.

Danke & Gruß

Arne



This thread was automatically locked due to age.
Parents
  • 1. "übernimmt die Masterrolle wieder, der Auxiliary Partner startet neu" ...  das ist der fall, wenn ein "Preferred primary device" festgelegt wurde

    2. "Nach dem Neustart des Auxiliary hat dieser immer noch die 10.1.10.250 und der Master zeigt einen Fehler im HA" ... das sollte natürlich nicht so sein. Wenn der Aux seine Rolle akzeptiert, hat der "seine" IP und spielt wieder mit dieser. ... sonst passt etwas an HA noch nicht. (sind überwachte Interfaces konfiguriert?) 

    am besten mal einen Screenshot der Konfiguration einfügen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Dirk und danke für deine Rückmeldung.

    zu 1. das war in der Tat so gedacht :-)

    zu 2. anbei ein Screenshot zu der HA Config vom Master

    Ich hab als zu monitorendes Interface, PortA genommen. Wenn die IP für das Webinterface nicht mehr erreichbar ist, kann ich davon ausgehen, dass die FW nicht läuft.

    Hier noch die Aux Konfig

  • Die Geräte verständigen sich über die 172.10.0.1/.2

    Eine "falsche" peer-admin-IP sollte für den Cluster keine störende Wirkung haben ... aber eigentlich auch nicht auftreten.

    Evtl. dauert es etwas, bis der Cluster das bereinigt? Port A hat immer einen Link? Sonst hat der Cluster probleme... solange überwacht ...

    Ich würde Port A erst mal aus der Überwachung herausnehmen. Das ist eine Funktion, die mit Bedacht einzusetzen ist.

    PS: Wie kommst du an den aux dran, wenn er die gleiche IP hat, wie der master?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Guten Morgen Dirk,

    Port A hat immer eine Verbindung. Über den Port erreiche ich die Sophos und kann sie verwalten.

    ich habe den Cluster gestern Nacht noch einmal aufgelöst und die Aux auf factory defaults gesetzt. Den Cluster habe ich dann direkt im Setup aufgebaut. Nun scheint es zu laufen. Der Sync dauert aber ca 5 Minuten.

    Kannst Du mir sagen, ob folgende Beobachtungen richtig sind?

    Wenn ein active-passiv Cluster aufgebaut wird, übernimmt der Aux alle Einstellungen des Masters. Auch die IP des Port A(was hier ja sowas wie die Management IP ist). Zudem hat er aber auch eine virtuelle IP, auf die er reagiert (in dem fall hier die 10.1.10.251). Über diese ist der Aux dann erreichbar, sofern alles im Normalzustand läuft. 

    Bei jedem manuell getriggerten Sync oder aber beim aktiv werden des Masters nach einem Failover, startet der Aux einmal neu und synchronisiert sich danach mit dem Master. Dieser Sync kann mehrere Minuten dauern.

    Was ich aber feststelle ist, dass die Peer Admin IP nicht durchweg erreichbar ist. 

    Gruß

    Arne

Reply
  • Guten Morgen Dirk,

    Port A hat immer eine Verbindung. Über den Port erreiche ich die Sophos und kann sie verwalten.

    ich habe den Cluster gestern Nacht noch einmal aufgelöst und die Aux auf factory defaults gesetzt. Den Cluster habe ich dann direkt im Setup aufgebaut. Nun scheint es zu laufen. Der Sync dauert aber ca 5 Minuten.

    Kannst Du mir sagen, ob folgende Beobachtungen richtig sind?

    Wenn ein active-passiv Cluster aufgebaut wird, übernimmt der Aux alle Einstellungen des Masters. Auch die IP des Port A(was hier ja sowas wie die Management IP ist). Zudem hat er aber auch eine virtuelle IP, auf die er reagiert (in dem fall hier die 10.1.10.251). Über diese ist der Aux dann erreichbar, sofern alles im Normalzustand läuft. 

    Bei jedem manuell getriggerten Sync oder aber beim aktiv werden des Masters nach einem Failover, startet der Aux einmal neu und synchronisiert sich danach mit dem Master. Dieser Sync kann mehrere Minuten dauern.

    Was ich aber feststelle ist, dass die Peer Admin IP nicht durchweg erreichbar ist. 

    Gruß

    Arne

Children
No Data