Hallo Liste, habe da eine Frage, um meinen Firewall-Cluster (aus SuSE-Linux) zu komplettieren: Ist es möglich, nicht nur virtuelle IP-Adressen, sondern auch virtuelle MAC-Adressen zu vergeben? Hintergrund: ein SuSE 9.0 und ein OpenSuse 10.0 (evtl. 10.1) sollen gemeinsam "parallel" geschalten werden, um eine ausfallssichere Firewall zu bilden. Das Erkennen der Umschaltbedingung selbst sehe ich als eher unkritisch an. Auch das Umschalten der IP-Adresse funktioniert bereits (jede der beiden Nodes hat eine eigene fixe Adresse; die aktive Node hat zusätzlich noch die Cluster-IP-Adresse). Nur hat der Router ein Problem damit, wenn sich bei immer noch existierender MAC-Adresse plötzlich die IP-Adresse unter einer anderen MAC-Adresse meldet. z.B.: vor dem Fail-Over: Firewall 1 (aktiv): eth0 192.168.1.10, MAC1 eth0:1 192.168.1.1, MAC1 Firewall 2 (inaktiv): eth0 192.168.1.11, MAC2 eth0:1 abgeschalten nach dem Fail-Over: Firewall 1 (aktiv): eth0 192.168.1.10, MAC1 eth0:1 abgeschalten Firewall 2 (inaktiv): eth0 192.168.1.11, MAC2 eth0:1 192.168.1.1, MAC2 192.168.1.1 taucht somit hintereinander mit 2 versch. MAC-Adressen auf. Habe mit googlen leider auch keine Lösung gefunden. Komischerweise wird bei "ifconfig" bei jedem virtuellen Interface eine MAC-Adresse mit angezeigt, leider immer die selbe pro phys. Interface. "ifconfig eth0:1 hw ether 00:11:22:..." bringt mich nicht weiter (funktioniert nur bei heruntergefahrenem Interface und dann für alle, inkl. Virt. Interfaces dieses phys. Interfaces.) Auch "ucarp" bringt mich nicht besonders weiter (Beispiel "vip-up.sh" kann das auch nicht). Danke für Eure Hilfe, Günther
Mein Stand (aus dem LVS Projekt) ist, dass es mit Linux nur schwer möglich wäre, so etwas zu implementieren und dass es bisher nicht gemacht wurde. Ich benutze für HA Anwendungen (ua ebenfalls einen Firewall Cluster) keepalived. Das verwendet GARP statt einer virtuellen Mac-Adresse. Solange da nicht uralte oder sehr restriktive Netzhardware dranhängt, die nicht auf GARP reagiert, funktioniert das prima. Dominik Günther Zisham schrieb:
Hallo Liste,
habe da eine Frage, um meinen Firewall-Cluster (aus SuSE-Linux) zu komplettieren:
Ist es möglich, nicht nur virtuelle IP-Adressen, sondern auch virtuelle MAC-Adressen zu vergeben?
Hintergrund: ein SuSE 9.0 und ein OpenSuse 10.0 (evtl. 10.1) sollen gemeinsam "parallel" geschalten werden, um eine ausfallssichere Firewall zu bilden. Das Erkennen der Umschaltbedingung selbst sehe ich als eher unkritisch an. Auch das Umschalten der IP-Adresse funktioniert bereits (jede der beiden Nodes hat eine eigene fixe Adresse; die aktive Node hat zusätzlich noch die Cluster-IP-Adresse).
Nur hat der Router ein Problem damit, wenn sich bei immer noch existierender MAC-Adresse plötzlich die IP-Adresse unter einer anderen MAC-Adresse meldet.
z.B.: vor dem Fail-Over: Firewall 1 (aktiv): eth0 192.168.1.10, MAC1 eth0:1 192.168.1.1, MAC1
Firewall 2 (inaktiv): eth0 192.168.1.11, MAC2 eth0:1 abgeschalten
nach dem Fail-Over: Firewall 1 (aktiv): eth0 192.168.1.10, MAC1 eth0:1 abgeschalten
Firewall 2 (inaktiv): eth0 192.168.1.11, MAC2 eth0:1 192.168.1.1, MAC2
192.168.1.1 taucht somit hintereinander mit 2 versch. MAC-Adressen auf.
Habe mit googlen leider auch keine Lösung gefunden. Komischerweise wird bei "ifconfig" bei jedem virtuellen Interface eine MAC-Adresse mit angezeigt, leider immer die selbe pro phys. Interface. "ifconfig eth0:1 hw ether 00:11:22:..." bringt mich nicht weiter (funktioniert nur bei heruntergefahrenem Interface und dann für alle, inkl. Virt. Interfaces dieses phys. Interfaces.) Auch "ucarp" bringt mich nicht besonders weiter (Beispiel "vip-up.sh" kann das auch nicht).
Danke für Eure Hilfe, Günther
Das könnte für dich interessant sein:. www.vergenet.net/linux/fake "Fake allows you to take over the IP address of another machine in the LAN by bringing up an additional interface and making use of ARP spoofing. The additional interface can be either a physical interface or an IP alias." -- Viele Grüße ------------------------------------------------------------------------ Michael
Das könnte für dich interessant sein:.
www.vergenet.net/linux/fake
"Fake allows you to take over the IP address of another machine in the LAN by bringing up an additional interface and making use of ARP spoofing. The additional interface can be either a physical interface or an IP alias."
Hallo, ich denke die Übernahme der Adresse funktioniert mit heartbeat schon, nur sein Router spielt nicht mit. Übliche Verdächtige wären hier der ARP-Cache... cu Holger
Michael Behrens wrote:
Das könnte für dich interessant sein:.
www.vergenet.net/linux/fake
"Fake allows you to take over the IP address of another machine in the LAN by bringing up an additional interface and making use of ARP spoofing. The additional interface can be either a physical interface or an IP alias."
Danke, das werde ich mir ansehen. Vielleicht ist es ja genau das, was ich suche. Danke, Günther
Am Freitag, 1. September 2006 18:29 schrieb Günther Zisham:
Michael Behrens wrote:
Das könnte für dich interessant sein:.
www.vergenet.net/linux/fake
"Fake allows you to take over the IP address of another machine in the LAN by bringing up an additional interface and making use of ARP spoofing. The additional interface can be either a physical interface or an IP alias."
Danke, das werde ich mir ansehen. Vielleicht ist es ja genau das, was ich suche.
Danke, Günther
evtl. hilft es, auf deinem Router das Arp-Timeout herunterzusetzen, sofern der das kann. Mfg, Thomas
Thomas Gräber wrote:
evtl. hilft es, auf deinem Router das Arp-Timeout herunterzusetzen, sofern der das kann.
es ist schon auf ca. 50 s herabgesetzt. Nur wenn es diese MAC-Adresse mit irgendeiner IP-Adresse (zB seine eigene) noch gibt, vergißt er auch die Zuordnung der MAC-Adresse zur Cluster-Adresse nicht, leider. Mfg, Günther
participants (5)
-
Dominik Klein
-
Günther Zisham
-
Holger Wöhle
-
Michael Behrens
-
Thomas Gräber