Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 12.06.2019, 22:41   #21
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
Да, галочка есть уже такая - HA, уже включил её )
и что в логе после этого?
Цитата:
Сообщение от Putin Посмотреть сообщение
"Интерфейс состояния/синхронизации" же должен быть интерфейс, который соединяет 2 керио шлюза напрямую ?
да
Цитата:
Сообщение от Putin Посмотреть сообщение
А внизу с галочкой и виртуальным IP-адресом должен быть интерфейс локальной сети, верно ?
не обязательно внизу, а так - да
Цитата:
Сообщение от Putin Посмотреть сообщение
Два керио шлюза соединять обычным патч-кордом между собой (интерфейс Sync/Status) ? Или обратной обжаткой?
я бы посоветовал кроссовер
но в целом от сетевух и их драйверов зависит, попробуй оба варианта
Цитата:
Сообщение от Putin Посмотреть сообщение
Сети (HA и LAN) должны быть разными или в принципе не важно совсем ?
обязательно должны быть разными
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 13.06.2019, 23:48   #22
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Короче говоря, рассказываю продолжение эксперимента, уже с разными заведомо рабочими сетевыми картами и обжатыми и проверенными патч-кордами, дополнительным коммутатором!
Эксперимент выявил в итоге после долгих мучений неисправность встроенной сетевухи на одном из компов, вот такие дела ( Именно она не давала корректно пройти сигналу HA и были такие вот артефакты. Сейчас вроде норм, настроил с горем пополам HA. Буду дальше проверять.
Putin вне форума   Ответить с цитированием Вверх
Старый 14.06.2019, 01:21   #23
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
настроил с горем пополам HA
заметим, что пока это горе непосредственно к качеству реализации HA в керио контрол не относится

Добавлено через 2 минуты

Цитата:
Сообщение от Putin Посмотреть сообщение
неисправность встроенной сетевухи на одном из компов, вот такие дела ( Именно она не давала корректно пройти сигналу HA и были такие вот артефакты.
а я говорил же,

Цитата:
Сообщение от exchar Посмотреть сообщение
а вообще предполагаю, что косо настроено соединение под HA - лагает оно или еще что.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 14.06.2019 в 01:22. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 15.06.2019, 01:01   #24
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: 9.3 керио и вкладка высокая доступность

exchar, спасибо за подсказки
Теперь вот ближе к реализации самой HA. Начал тестировать VPN-туннели и тут самое страшное - посыпались сообщения о разрывах (( Неужели эти GFIйовцы не могли продумать этот момент с туннелями активными ? Получается, что и с мастера и со слейва идёт подключение VPN туннеля и друг друга каждую минуту они перебивают и происходят разрывы, вся почта в сообщениях о разрыве и подключении туннеля. Это просто fail что делать-то и у кого какие мысли по этому поводу ? Ведь получается, что ни всегда надо прям повторять команду и ВСЁ ТУПО дублировать при режиме High Availability (
Putin вне форума   Ответить с цитированием Вверх
Старый 15.06.2019, 12:05   #25
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
посыпались сообщения о разрывах
что в статусе HA?
что в логе HA?
wan интерфейсы на обоих керио точно называются одинаково?

попробуй поставить галку на wan (как на lan ставил)
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 13:51   #26
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
что в статусе HA?
что в логе HA?
wan интерфейсы на обоих керио точно называются одинаково?
В статусе HA всё чётко, успешное зелёненькое соединение с двух сторон.
ВАН интерфейсы точно называются одинаково, иначе бы он написал бы ошибку в HA.

В логе на мастере следующее (Активный туннель):



В логе на Пассивном Туннеле:



Разница во времени из-за того, что неверные часы на пассиве были.

А вообще - разве может быть беспроблемное одновременное такое VPN соединение с одинаковыми отпечатками ?

Цитата:
Сообщение от exchar Посмотреть сообщение
попробуй поставить галку на wan (как на lan ставил)
В HA? Так там же надо виртуальный IP адрес тогда поставить. По-моему это не надо делать, или же указать и там и там какой-то один IP на ване ?
Putin вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 14:08   #27
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
В HA? Так там же надо виртуальный IP адрес тогда поставить.
попробуй без виртуального адреса сначала
с галкой, но без адреса - отработает?
Цитата:
Сообщение от Putin Посмотреть сообщение
По-моему это не надо делать, или же указать и там и там какой-то один IP на ване ?
к провайдеру как подключен?
внезапно статика?
есть ли еще пара ваще ненужных адресов в сети провайдера чтобы нарисовать виртуальный ip на wan аналогично lan (может у вас там рояли в кустах штабелями валяются...)?
Цитата:
Сообщение от Putin Посмотреть сообщение
[15/Jun/2019 13:19:46] {vpntunnel} Tunnel[0004]('VPN-Tunnel-Active') - flushing ARP cache for adapter 0x5, IP 0.0.0.0
[15/Jun/2019 13:19:46] {vpntunnel} Tunnel[0004]('VPN-Tunnel-Active') - tunnel closed
белый полярный лис для туннеля приходит при сбросе кэша arp
я бы помониторил поведение arp-таблиц на обоих керио и свитче в контексте mac-адресов wan-интерфейсов (да и не обязательно wan...).
взял бы за один период одновременно на обоих керио дампы трафика в pcap и сделал бы фильтр по arp

а вообще, это к кериотам в оффподдержку уже напрашивается вопрос.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 15:31   #28
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
попробуй без виртуального адреса сначала
с галкой, но без адреса - отработает?
Не, так не работает, пишет виртуальный IP адрес должен быть обязательно!( Получается, там только локальную сеть надо использовать в этом поле.

Цитата:
Сообщение от exchar Посмотреть сообщение
к провайдеру как подключен?
внезапно статика?
есть ли еще пара ваще ненужных адресов в сети провайдера чтобы нарисовать виртуальный ip на wan аналогично lan (может у вас там рояли в кустах штабелями валяются...)?
К провайдеру статика IPoE на одном конце, на втором - статика PPPoE.
Про свободные IP не в курсе ) и есть ли смысл подбирать их ? )

Цитата:
Сообщение от exchar Посмотреть сообщение
белый полярный лис для туннеля приходит при сбросе кэша arp
я бы помониторил поведение arp-таблиц на обоих керио и свитче в контексте mac-адресов wan-интерфейсов (да и не обязательно wan...).
взял бы за один период одновременно на обоих керио дампы трафика в pcap и сделал бы фильтр по arp

а вообще, это к кериотам в оффподдержку уже напрашивается вопрос.
Сложная схема по поиску проблемы ) попробую действительно написать в тех.поддержку эту GFI, пусть решают вопрос. Просто я думаю, что правильнее было бы одно соединение по туннелю на мастере, затем что-то с мастером случается и всё управление переходит на слейв и там "просыпается" тот туннель и начинается своё соединение, а не как щас - сразу с двух компов пытается он подключиться к одному пассивному туннелю-то, это ж ненормально !?
Putin вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 22:15   #29
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
Не, так не работает, пишет виртуальный IP адрес должен быть обязательно!
абидна
Цитата:
Сообщение от Putin Посмотреть сообщение
Получается, там только локальную сеть надо использовать в этом поле
или подсеть от провайдера + статика на подключении
Цитата:
Сообщение от Putin Посмотреть сообщение
и есть ли смысл подбирать их ? )
нет! хотя я так развлекался когда-то )))
Цитата:
Сообщение от Putin Посмотреть сообщение
Сложная схема по поиску проблемы )
схема соответствует размеру проблемы, не более
и снять два дампа с двух керио, поставить фильтр и сравнить - это 5 минут
еще минут 20 - понять почему arp не робит
Цитата:
Сообщение от Putin Посмотреть сообщение
попробую действительно написать в тех.поддержку эту GFI, пусть решают вопрос.
скажи потом чем дело кончится в плане поддержки
Цитата:
Сообщение от Putin Посмотреть сообщение
Просто я думаю, что правильнее было бы одно соединение по туннелю на мастере, затем что-то с мастером случается и всё управление переходит на слейв и там "просыпается" тот туннель и начинается своё соединение
+100500
Цитата:
Сообщение от Putin Посмотреть сообщение
а не как щас - сразу с двух компов пытается он подключиться к одному пассивному туннелю-то, это ж ненормально !?
не нормально
интересно, что по этому поводу думает Кальтенбруннер ответит так же поддержка керио на этот вопрос?..
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 23:24   #30
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,393
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
что по этому поводу думает Кальтенбруннер
За окном шёл снег и рота солдат ...
Товарищ Жюков, дайте закурить!
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 23:28   #31
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от naliman Посмотреть сообщение
За окном шёл снег и рота солдат ...
Товарищ Жюков, дайте закурить!
вот по памяти

За окном шёл снег и рота красноармейцев.
- Товарищ Жюков, вас еще не убили?
- Эм... Никак нет, товарищ Сталин!
- Тогда дайте закурить.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 23:46   #32
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,393
По умолчанию Re: 9.3 керио и вкладка высокая доступность

ну да, точно так!
я сильно упростил
было 3 книжки, давно ещё в 90-х, но куда то про...терялись
жаль очень, куча эмоций тогда получалась от чтения

Добавлено через 2 минуты

оно конечно нынче в интонентах есть всё...
но в бумаге оно просто бесценно
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 16.06.2019 в 23:46. Причина: Добавлено сообщение
naliman вне форума   Ответить с цитированием Вверх
Старый 16.07.2019, 15:16   #33
sirhawkwood
Навичёг
 
Аватар для sirhawkwood
 
Регистрация: 25.06.2018
Сообщений: 36
По умолчанию Re: 9.3 керио и вкладка высокая доступность

скоро я тестировать буду, поставили задачу один в Москве другой в Перми фигануть и объеденить чтоб при падении одного у пользователей инет прокси не падал, буду оъеденять, если это не сработает буду ваять миграцию гипер ви с интерфейсами по резервированию, может так стартанет.....
sirhawkwood вне форума   Ответить с цитированием Вверх
Старый 16.07.2019, 15:32   #34
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата
Сообщение от sirhawkwood Посмотреть сообщение
один в Москве другой в Перми фигануть и объеденить чтоб при падении одного у пользователей инет прокси не падал, буду оъеденять
что-то я эту схему не понял вообще
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.07.2019, 15:35   #35
sirhawkwood
Навичёг
 
Аватар для sirhawkwood
 
Регистрация: 25.06.2018
Сообщений: 36
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
что-то я эту схему не понял вообще

ну у нас куча филиалов в одну сеть объеденены
соответственно если вдруг упала Москва чтоб прокся продолжала работать (соответственно основная прокся в Москве резерв в перми).
Это если коротко.
sirhawkwood вне форума   Ответить с цитированием Вверх
Старый 16.07.2019, 15:48   #36
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата
Сообщение от sirhawkwood Посмотреть сообщение
ну у нас куча филиалов в одну сеть объеденены
соответственно если вдруг упала Москва чтоб прокся продолжала работать (соответственно основная прокся в Москве резерв в перми).
наверное, лучше будет что-то типа vmware HA (или аналог от гиперв)
впрочем, решать вам - как настроите, маякните по качеству работы
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.07.2019, 16:39   #37
sirhawkwood
Навичёг
 
Аватар для sirhawkwood
 
Регистрация: 25.06.2018
Сообщений: 36
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
наверное, лучше будет что-то типа vmware HA (или аналог от гиперв)
впрочем, решать вам - как настроите, маякните по качеству работы
ммм если б у девочи была бы штучка это был бы мальчик

при vm ware HA и прочее это конечно хорошо но разнесенный кластер в данном случае не вариант
Возможный вариант железка типа чекпойнта
но в теории как раз высокая доступность в керио решает эту проблему, без привлечения стороннего ПО.
Если эта штука решить не сможет данную проблему то конечно с помощью HA и прочего вопрос физической доступности машины можно будет решить с рядом технических извратов вроде сквозной адресации или динамической маршрутизации по отбою доступности узла прокси. Но это будет уже не совсем высокая доступность в прямом смысле этого слова.

Добавлено через 4 минуты

если я правильно понимаю, тут реализована cisco подобная схема, каждому из интерфейсов высокой доступности добавляется виртуальный ip ОДИНАКОВЫЙ для пады интервейсов ведущий\ведомый который и видят пользователи и для них вообщем то пофигу какой из серваков работает в данный конеретный момент.
Если это так, то это будет очень круто.

Последний раз редактировалось sirhawkwood; 16.07.2019 в 16:42. Причина: Добавлено сообщение
sirhawkwood вне форума   Ответить с цитированием Вверх
Старый 16.07.2019, 17:02   #38
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата
Сообщение от sirhawkwood Посмотреть сообщение
при vm ware HA и прочее это конечно хорошо но разнесенный кластер в данном случае не вариант
оно практически в любом виде будет напоминать разнесенный кластер
Цитата
Сообщение от sirhawkwood Посмотреть сообщение
Возможный вариант железка типа чекпойнта
и тут тоже будет кластер из пары железок - это я так, заранее
только стоимость покупки и стоимость поддержки первой линии торпедируют бюджет, ггг
а логичность админки чекпоинта, его сайта и косяков совместимости взорвут мозг
но в целом - да, оно работает... но по разным причинам функционал именно непрозрачного прокси у нас на другом софте
Цитата
Сообщение от sirhawkwood Посмотреть сообщение
но в теории как раз высокая доступность в керио решает эту проблему, без привлечения стороннего ПО.
там, емнип, ucarp под капотом. в керио.
причем он там недавно и потому возможно сыроват вызывает вопросы даже при чтении неебически короткого офф мануала по настройке.
Цитата
Сообщение от sirhawkwood Посмотреть сообщение
Если эта штука решить не сможет данную проблему то конечно с помощью HA и прочего вопрос физической доступности машины можно будет решить с рядом технических извратов вроде сквозной адресации или динамической маршрутизации по отбою доступности узла прокси.
дада, именно
Цитата
Сообщение от sirhawkwood Посмотреть сообщение
Но это будет уже не совсем высокая доступность в прямом смысле этого слова.
видение HA для каждого вендора различается, что уж говорить о клиентах =)
Цитата
Сообщение от sirhawkwood Посмотреть сообщение
если я правильно понимаю, тут реализована cisco подобная схема, каждому из интерфейсов высокой доступности добавляется виртуальный ip ОДИНАКОВЫЙ для пады интервейсов ведущий\ведомый который и видят пользователи и для них вообщем то пофигу какой из серваков работает в данный конеретный момент.
да. см. типа [Для просмотра данной ссылки нужно зарегистрироваться].

и кластер чекпоинта, к слову, так умеет.
Цитата
Сообщение от sirhawkwood Посмотреть сообщение
Если это так, то это будет очень круто.
главное чтобы оно еще и работало без вопросов...
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 17.07.2019, 08:55   #39
sirhawkwood
Навичёг
 
Аватар для sirhawkwood
 
Регистрация: 25.06.2018
Сообщений: 36
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
оно практически в любом виде будет напоминать разнесенный кластер

и тут тоже будет кластер из пары железок - это я так, заранее
только стоимость покупки и стоимость поддержки первой линии торпедируют бюджет, ггг
а логичность админки чекпоинта, его сайта и косяков совместимости взорвут мозг
но в целом - да, оно работает... но по разным причинам функционал именно непрозрачного прокси у нас на другом софте

там, емнип, ucarp под капотом. в керио.
причем он там недавно и потому возможно сыроват вызывает вопросы даже при чтении неебически короткого офф мануала по настройке.

дада, именно

видение HA для каждого вендора различается, что уж говорить о клиентах =)

да. см. типа [Для просмотра данной ссылки нужно зарегистрироваться].

и кластер чекпоинта, к слову, так умеет.

главное чтобы оно еще и работало без вопросов...



Ну вот, мы друг друга поняли+))
sirhawkwood вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 04:32. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях