This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HA active/active, firewall rules stop working 8.202

We have some problems lately, some of our firewall rules stop working during the day, after a reboot of one of the astaro's or sometimes after like 4 hours they are suddenly working again.

Another question, what you see on the attachment (HA configured active-passive) both asg320 shows active. Is that correct?


I updated last week to 8.202, then above problem occurred, can i simple restore back to 8.103? (from automatic backup)


This thread was automatically locked due to age.
Parents
  • Its just what you configure, there no magic or randomness here.

    If you bind a SRC Host definition to an interface, then the traffic must be received from that interface.
    If you bind a DST Host definition to an interface, then the traffic must be send to that interface.

    There are not VPN interfaces in WebAdmin, so you can't bind Host Definitions to VPN interfaces,
    so VPN traffic can't match here.

    Also IPSec traffic going through an IPSec Tunnel will not match such Host definitions,
    even if they arrive or will be send via that interface. But thats not an technical issue,
    that was a design decision to be v7 compatible.

    I think most issues related to Host Definitions happen, because the wiring is wrong,
    e.g. connection eth0 and eth1 to the same switch port and its random, which way
    packets are going... Thats probably the issue in that case too.

    Why do people want that? Well its a "bit" more secure. However you can get the same effect
    by enabling the Spoofing Protection...

    Cheers
     Ulrich

    BTW: Since 8.200 its possible to disable that ARP requests
    for local IP addresses will be answered by all interfaces:
    "/usr/local/bin/confd-client.plx set interfaces advanced arp_ignore 1"
Reply
  • Its just what you configure, there no magic or randomness here.

    If you bind a SRC Host definition to an interface, then the traffic must be received from that interface.
    If you bind a DST Host definition to an interface, then the traffic must be send to that interface.

    There are not VPN interfaces in WebAdmin, so you can't bind Host Definitions to VPN interfaces,
    so VPN traffic can't match here.

    Also IPSec traffic going through an IPSec Tunnel will not match such Host definitions,
    even if they arrive or will be send via that interface. But thats not an technical issue,
    that was a design decision to be v7 compatible.

    I think most issues related to Host Definitions happen, because the wiring is wrong,
    e.g. connection eth0 and eth1 to the same switch port and its random, which way
    packets are going... Thats probably the issue in that case too.

    Why do people want that? Well its a "bit" more secure. However you can get the same effect
    by enabling the Spoofing Protection...

    Cheers
     Ulrich

    BTW: Since 8.200 its possible to disable that ARP requests
    for local IP addresses will be answered by all interfaces:
    "/usr/local/bin/confd-client.plx set interfaces advanced arp_ignore 1"
Children
No Data