Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
pessoal. voces tem alguma configuração do freevrrpd de um servidor master e um servidor slave? dessa vez ao iniciar o freevrrpd todas as interfaces ficaram caindo, parecia algum loop e aparecia essa mensagem interface is faulty deactivated from vrrp vrid Em 13 de abril de 2012 15:25, Alisson alissongoncal...@bsd.com.brescreveu: Boa tarde Luiz Gustavo, eu tenho uma interface em outra rede: ifconfig_em0=192.168.50.46/25 Em 13 de abril de 2012 09:32, Alisson alissongoncal...@bsd.com.brescreveu: ok.. eu nao estava entendendo como fazer as configurações no rc.conf ai ficou assim MASTER ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.50.49/30 password = vrid1 SLAVE ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.50.49/30 password = vrid1 /var/log/messages Apr 12 18:09:45 master freevrrpd[2024]: launching daemon in background mode Apr 12 18:09:45 master freevrrpd[2025]: initializing threads and all VRID Apr 12 18:09:45 master freevrrpd[2025]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 18:09:45 master freevrrpd[2025]: no IP address is configured on the real interface em1 Apr 12 18:09:45 master freevrrpd[2025]: cannot join multicast vrrp group without a real ip adress on em1 Apr 12 18:09:45 master freevrrpd[2025]: choose an IP address that is not used on any VRIDs and restart Apr 12 18:09:45 master freevrrpd[2025]: you can set a private address for announcing VRRP packets (eg: 192.168.0.1/24) Apr 12 18:09:45 master freevrrpd[2025]: exiting... Em 12 de abril de 2012 19:15, Alisson alissongoncal...@bsd.com.brescreveu: ok.. eu nao estava entendendo como fazer as configurações no rc.conf ai ficou assim MASTER ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.50.49/30 password = vrid1 SLAVE ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.50.49/30 password = vrid1 /var/log/messages Apr 12 18:09:45 master freevrrpd[2024]: launching daemon in background mode Apr 12 18:09:45 master freevrrpd[2025]: initializing threads and all VRID Apr 12 18:09:45 master freevrrpd[2025]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 18:09:45 master freevrrpd[2025]: no IP address is configured on the real interface em1 Apr 12 18:09:45 master freevrrpd[2025]: cannot join multicast vrrp group without a real ip adress on em1 Apr 12 18:09:45 master freevrrpd[2025]: choose an IP address that is not used on any VRIDs and restart Apr 12 18:09:45 master freevrrpd[2025]: you can set a private address for announcing VRRP packets (eg: 192.168.0.1/24) Apr 12 18:09:45 master freevrrpd[2025]: exiting... Em 12 de abril de 2012 13:15, Alisson alissongoncal...@bsd.com.brescreveu: seguindo a orientação de voces... fiz algumas alterações e instalei o freevrrp para os /30 veja como ficou no rc.conf do MASTER ipv4_addrs_em0=192.168.1.44/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #MASTER [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.2.49/30 password = vrid1 veja como ficou no rc.conf do SLAVE ipv4_addrs_em0=192.168.1.45/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #SLAVE [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.2.49/30 password = vrid1 e veja o erro do messages Apr 12 12:10:55 master freevrrpd[4490]: initializing threads and all VRID Apr 12 12:10:55 master freevrrpd[4490]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 12:10:55 master freevrrpd[4490]: cannot create an eiface/ether netgraph interface: Address already in use Apr 12 12:10:55 master kernel: ngeth5: link state changed to UP Apr 12 12:10:55 master kernel: ngeth5: link state changed to DOWN Apr 12 12:10:55 master freevrrpd[4490]: ng_ether.ko is probably not loaded, use kldload ng_ether.ko before running freevrrpd Apr 12 12:10:55 master freevrrpd[4490]: cannot create a virtual interface via netgraph: Address already in use Apr 12 12:10:55 master freevrrpd[4490]: check that ng_socket, ng_ether, ng_eiface and ng_bridge are loaded Em 11 de abril de 2012 10:27, Luiz Gustavo luizgust...@luizgustavo.pro.br escreveu: On Wed, 11 Apr 2012 09:59:34 -0300 Alisson alissongoncal...@bsd.com.br wrote: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? [root@desktop] /usr/ports# cat net/freevrrpd/pkg-descr freevrrpd is a VRRP (Virtual Router Redundancy Protocol) implementation daemon under FreeBSD, NetBSD and OpenBSD. This daemon has been rewritten from scratch and is not based on existing projects. In this
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Em 17 de abril de 2012 16:53, Alisson alissongoncal...@bsd.com.brescreveu: pessoal. dessa vez ao iniciar o freevrrpd todas as interfaces ficaram caindo, parecia algum loop e aparecia essa mensagem interface is faulty deactivated from vrrp vrid Você mexeu na prioridade de um deles? -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
sim... voces tem alguma configuracao de master e slave? nao estou entendendo como configurar no rc.conf e no freevrrpd.conf veja abaixo * MASTER* * ifconfig_em1=up* ** * /usr/local/etc/freevrrpd.conf* ** * [VRID]* * serverid = 1* * interface = em1* * priority = 101* * addr = 192.168.50.49/30* * password = vrid1* ** ** * SLAVE* * ifconfig_em1=up* ** * /usr/local/etc/freevrrpd.conf* ** * [VRID]* * serverid = 1* * interface = em1* * priority = 100* * addr = 192.168.50.49/30* * password = vrid1* Em 17 de abril de 2012 16:53, Alisson alissongoncal...@bsd.com.brescreveu: pessoal. voces tem alguma configuração do freevrrpd de um servidor master e um servidor slave? dessa vez ao iniciar o freevrrpd todas as interfaces ficaram caindo, parecia algum loop e aparecia essa mensagem interface is faulty deactivated from vrrp vrid Em 13 de abril de 2012 15:25, Alisson alissongoncal...@bsd.com.brescreveu: Boa tarde Luiz Gustavo, eu tenho uma interface em outra rede: ifconfig_em0=192.168.50.46/25 Em 13 de abril de 2012 09:32, Alisson alissongoncal...@bsd.com.brescreveu: ok.. eu nao estava entendendo como fazer as configurações no rc.conf ai ficou assim MASTER ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.50.49/30 password = vrid1 SLAVE ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.50.49/30 password = vrid1 /var/log/messages Apr 12 18:09:45 master freevrrpd[2024]: launching daemon in background mode Apr 12 18:09:45 master freevrrpd[2025]: initializing threads and all VRID Apr 12 18:09:45 master freevrrpd[2025]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 18:09:45 master freevrrpd[2025]: no IP address is configured on the real interface em1 Apr 12 18:09:45 master freevrrpd[2025]: cannot join multicast vrrp group without a real ip adress on em1 Apr 12 18:09:45 master freevrrpd[2025]: choose an IP address that is not used on any VRIDs and restart Apr 12 18:09:45 master freevrrpd[2025]: you can set a private address for announcing VRRP packets (eg: 192.168.0.1/24) Apr 12 18:09:45 master freevrrpd[2025]: exiting... Em 12 de abril de 2012 19:15, Alisson alissongoncal...@bsd.com.brescreveu: ok.. eu nao estava entendendo como fazer as configurações no rc.conf ai ficou assim MASTER ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.50.49/30 password = vrid1 SLAVE ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.50.49/30 password = vrid1 /var/log/messages Apr 12 18:09:45 master freevrrpd[2024]: launching daemon in background mode Apr 12 18:09:45 master freevrrpd[2025]: initializing threads and all VRID Apr 12 18:09:45 master freevrrpd[2025]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 18:09:45 master freevrrpd[2025]: no IP address is configured on the real interface em1 Apr 12 18:09:45 master freevrrpd[2025]: cannot join multicast vrrp group without a real ip adress on em1 Apr 12 18:09:45 master freevrrpd[2025]: choose an IP address that is not used on any VRIDs and restart Apr 12 18:09:45 master freevrrpd[2025]: you can set a private address for announcing VRRP packets (eg: 192.168.0.1/24) Apr 12 18:09:45 master freevrrpd[2025]: exiting... Em 12 de abril de 2012 13:15, Alisson alissongoncal...@bsd.com.brescreveu: seguindo a orientação de voces... fiz algumas alterações e instalei o freevrrp para os /30 veja como ficou no rc.conf do MASTER ipv4_addrs_em0=192.168.1.44/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #MASTER [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.2.49/30 password = vrid1 veja como ficou no rc.conf do SLAVE ipv4_addrs_em0=192.168.1.45/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #SLAVE [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.2.49/30 password = vrid1 e veja o erro do messages Apr 12 12:10:55 master freevrrpd[4490]: initializing threads and all VRID Apr 12 12:10:55 master freevrrpd[4490]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 12:10:55 master freevrrpd[4490]: cannot create an eiface/ether netgraph interface: Address already in use Apr 12 12:10:55 master kernel: ngeth5: link state changed to UP Apr 12 12:10:55 master kernel: ngeth5: link state changed to DOWN Apr 12 12:10:55 master freevrrpd[4490]: ng_ether.ko is probably not loaded, use kldload ng_ether.ko before running freevrrpd Apr 12 12:10:55 master freevrrpd[4490]: cannot create a virtual interface via netgraph: Address already in use Apr 12 12:10:55 master freevrrpd[4490]: check that ng_socket, ng_ether, ng_eiface and ng_bridge are loaded Em 11 de abril de 2012 10:27, Luiz
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Pessoal, Tentem ver a solução CARP + ifstated. Para tal: - rodar um processo de carp em OUTRA interface que tenha pelo menos um /29 - use o IFSTATED para subir os IPs /30 das outras interfaces (pode ser de todas interfaces /30 com os clientes) de acordo com o estado da única interface carp (se o carp for MASTER, sobe o /30 em todas interfaces, se o carp for BACKUP/INIT, derrube os /30 das interfaces dos clientes). É uma solução que funciona, sem precisar sair do carp. Vai existir um inconveniente se for necessário fazer load sharing entre os servidores, mas não sei se vem ao caso. Em 13 de abril de 2012 21:01, Eduardo Schoedler lis...@esds.com.br escreveu: Em 12 de abril de 2012 13:35, Luiz Gustavo luizgust...@luizgustavo.pro.brescreveu: Você setou o ip 192.168.2.48/30 nas duas maquinas, de cara ai já vai dar conflito de ip, somente dê um up na interface via rc.conf ifconfig_em1=up deixe que o freevrrpd atribue o ip na interface, a comunicação que ele faz com o outro lado é via broadcast Luiz, Dessa forma você está criando tráfego que será jogado para o cliente, só que ele não vai enxergar por estar em uma subnet diferente. Mas pelo jeito é a única solução... Sds, -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Lembrando que neste caso, quando a maquina backup assumir, o mac que vai estar associado ao IP vai ser o da placa de rede dela(não o do CARP - que nunca muda). Seria o mesmo de trocar a placa de rede, se houver algum tipo de segurança de porta no switch, será necessário liberar os 2 MAC(master e backup). Pode haver também uma demora de alguns segundos, até o novo MAC ser aprendido pelo switch e demais equipamentos. Em todos os casos, é bom usar PF + PFSYNC, garantindo que as sessões abertas sejam aprendidas no firewall backup e não haja reset das conexões tcp/udp abertas(PFSYNC e PF não tem nada a ver com carp e IFSTATED, mas sempre é bom fazer esta dobradinha). Por fim, pode-se usar o ifstated para rodar programas que não foram pensados em esquema de alta disponibilidade. Por exemplo, 2 nagios, um em cada firewall, caso o firewall backup assume, inicia o nagios e por aí vai. Em 14/04/12 09:20, Rafael Ganascim escreveu: Pessoal, Tentem ver a solução CARP + ifstated. Para tal: - rodar um processo de carp em OUTRA interface que tenha pelo menos um /29 - use o IFSTATED para subir os IPs /30 das outras interfaces (pode ser de todas interfaces /30 com os clientes) de acordo com o estado da única interface carp (se o carp for MASTER, sobe o /30 em todas interfaces, se o carp for BACKUP/INIT, derrube os /30 das interfaces dos clientes). É uma solução que funciona, sem precisar sair do carp. Vai existir um inconveniente se for necessário fazer load sharing entre os servidores, mas não sei se vem ao caso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Lembrei de outra coisa, já usei carp conversando com um VRRP cisco. Não sei porque o MAC do VRRP cisco ficou **identico** ao do meu CARP. E isto em apenas uma interface(DMZ), a interface LAN os MAC foram diferentes. Lembro que a linha da DMZ era algo como ifconfig carp0 vhid 1 advskew 100. o vhid 1 fez o MAC ficar igual, alterei para vhid 2 e funcionou, ficando o vhid 1 na LAN e sem stress. Coisas raras de acontecer. Em 14/04/12 19:19, Renato Frederick escreveu: Lembrando que neste caso, quando a maquina backup assumir, o mac que vai estar associado ao IP vai ser o da placa de rede dela(não o do CARP - que nunca muda). Seria o mesmo de trocar a placa de rede, se houver algum tipo de segurança de porta no switch, será necessário liberar os 2 MAC(master e backup). Pode haver também uma demora de alguns segundos, até o novo MAC ser aprendido pelo switch e demais equipamentos. Em todos os casos, é bom usar PF + PFSYNC, garantindo que as sessões abertas sejam aprendidas no firewall backup e não haja reset das conexões tcp/udp abertas(PFSYNC e PF não tem nada a ver com carp e IFSTATED, mas sempre é bom fazer esta dobradinha). Por fim, pode-se usar o ifstated para rodar programas que não foram pensados em esquema de alta disponibilidade. Por exemplo, 2 nagios, um em cada firewall, caso o firewall backup assume, inicia o nagios e por aí vai. Em 14/04/12 09:20, Rafael Ganascim escreveu: Pessoal, Tentem ver a solução CARP + ifstated. Para tal: - rodar um processo de carp em OUTRA interface que tenha pelo menos um /29 - use o IFSTATED para subir os IPs /30 das outras interfaces (pode ser de todas interfaces /30 com os clientes) de acordo com o estado da única interface carp (se o carp for MASTER, sobe o /30 em todas interfaces, se o carp for BACKUP/INIT, derrube os /30 das interfaces dos clientes). É uma solução que funciona, sem precisar sair do carp. Vai existir um inconveniente se for necessário fazer load sharing entre os servidores, mas não sei se vem ao caso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
ok.. eu nao estava entendendo como fazer as configurações no rc.conf ai ficou assim MASTER ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.50.49/30 password = vrid1 SLAVE ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.50.49/30 password = vrid1 /var/log/messages Apr 12 18:09:45 master freevrrpd[2024]: launching daemon in background mode Apr 12 18:09:45 master freevrrpd[2025]: initializing threads and all VRID Apr 12 18:09:45 master freevrrpd[2025]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 18:09:45 master freevrrpd[2025]: no IP address is configured on the real interface em1 Apr 12 18:09:45 master freevrrpd[2025]: cannot join multicast vrrp group without a real ip adress on em1 Apr 12 18:09:45 master freevrrpd[2025]: choose an IP address that is not used on any VRIDs and restart Apr 12 18:09:45 master freevrrpd[2025]: you can set a private address for announcing VRRP packets (eg: 192.168.0.1/24) Apr 12 18:09:45 master freevrrpd[2025]: exiting... Em 12 de abril de 2012 19:15, Alisson alissongoncal...@bsd.com.brescreveu: ok.. eu nao estava entendendo como fazer as configurações no rc.conf ai ficou assim MASTER ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.50.49/30 password = vrid1 SLAVE ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.50.49/30 password = vrid1 /var/log/messages Apr 12 18:09:45 master freevrrpd[2024]: launching daemon in background mode Apr 12 18:09:45 master freevrrpd[2025]: initializing threads and all VRID Apr 12 18:09:45 master freevrrpd[2025]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 18:09:45 master freevrrpd[2025]: no IP address is configured on the real interface em1 Apr 12 18:09:45 master freevrrpd[2025]: cannot join multicast vrrp group without a real ip adress on em1 Apr 12 18:09:45 master freevrrpd[2025]: choose an IP address that is not used on any VRIDs and restart Apr 12 18:09:45 master freevrrpd[2025]: you can set a private address for announcing VRRP packets (eg: 192.168.0.1/24) Apr 12 18:09:45 master freevrrpd[2025]: exiting... Em 12 de abril de 2012 13:15, Alisson alissongoncal...@bsd.com.brescreveu: seguindo a orientação de voces... fiz algumas alterações e instalei o freevrrp para os /30 veja como ficou no rc.conf do MASTER ipv4_addrs_em0=192.168.1.44/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #MASTER [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.2.49/30 password = vrid1 veja como ficou no rc.conf do SLAVE ipv4_addrs_em0=192.168.1.45/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #SLAVE [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.2.49/30 password = vrid1 e veja o erro do messages Apr 12 12:10:55 master freevrrpd[4490]: initializing threads and all VRID Apr 12 12:10:55 master freevrrpd[4490]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 12:10:55 master freevrrpd[4490]: cannot create an eiface/ether netgraph interface: Address already in use Apr 12 12:10:55 master kernel: ngeth5: link state changed to UP Apr 12 12:10:55 master kernel: ngeth5: link state changed to DOWN Apr 12 12:10:55 master freevrrpd[4490]: ng_ether.ko is probably not loaded, use kldload ng_ether.ko before running freevrrpd Apr 12 12:10:55 master freevrrpd[4490]: cannot create a virtual interface via netgraph: Address already in use Apr 12 12:10:55 master freevrrpd[4490]: check that ng_socket, ng_ether, ng_eiface and ng_bridge are loaded Em 11 de abril de 2012 10:27, Luiz Gustavo luizgust...@luizgustavo.pro.br escreveu: On Wed, 11 Apr 2012 09:59:34 -0300 Alisson alissongoncal...@bsd.com.br wrote: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? [root@desktop] /usr/ports# cat net/freevrrpd/pkg-descr freevrrpd is a VRRP (Virtual Router Redundancy Protocol) implementation daemon under FreeBSD, NetBSD and OpenBSD. This daemon has been rewritten from scratch and is not based on existing projects. In this second public release, you can find: * A daemon RFC 2338 Compliant adapted on FreeBSD systems * Implementation of Virtual Adresses * Support for multiples VRID * Master announce state by sending multicast packets via BPF * Changing routes and IP in 3 seconds * Doing gratuitous ARP requests to clean the cache of all hosts * Election between different slave servers * Same host can be Slave and Master at the same time * Automatic Downgrade to Slave if a Master is up again *
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Coloca uma rede diferente entre as duas interfaces, somente para se comunicarem (ele faz broadcast). On Fri, 13 Apr 2012 09:32:31 -0300 Alisson alissongoncal...@bsd.com.br wrote: ok.. eu nao estava entendendo como fazer as configurações no rc.conf ai ficou assim MASTER ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.50.49/30 password = vrid1 SLAVE ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.50.49/30 password = vrid1 /var/log/messages Apr 12 18:09:45 master freevrrpd[2024]: launching daemon in background mode Apr 12 18:09:45 master freevrrpd[2025]: initializing threads and all VRID Apr 12 18:09:45 master freevrrpd[2025]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 18:09:45 master freevrrpd[2025]: no IP address is configured on the real interface em1 Apr 12 18:09:45 master freevrrpd[2025]: cannot join multicast vrrp group without a real ip adress on em1 Apr 12 18:09:45 master freevrrpd[2025]: choose an IP address that is not used on any VRIDs and restart Apr 12 18:09:45 master freevrrpd[2025]: you can set a private address for announcing VRRP packets (eg: 192.168.0.1/24) Apr 12 18:09:45 master freevrrpd[2025]: exiting... Em 12 de abril de 2012 19:15, Alisson alissongoncal...@bsd.com.brescreveu: ok.. eu nao estava entendendo como fazer as configurações no rc.conf ai ficou assim MASTER ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.50.49/30 password = vrid1 SLAVE ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.50.49/30 password = vrid1 /var/log/messages Apr 12 18:09:45 master freevrrpd[2024]: launching daemon in background mode Apr 12 18:09:45 master freevrrpd[2025]: initializing threads and all VRID Apr 12 18:09:45 master freevrrpd[2025]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 18:09:45 master freevrrpd[2025]: no IP address is configured on the real interface em1 Apr 12 18:09:45 master freevrrpd[2025]: cannot join multicast vrrp group without a real ip adress on em1 Apr 12 18:09:45 master freevrrpd[2025]: choose an IP address that is not used on any VRIDs and restart Apr 12 18:09:45 master freevrrpd[2025]: you can set a private address for announcing VRRP packets (eg: 192.168.0.1/24) Apr 12 18:09:45 master freevrrpd[2025]: exiting... Em 12 de abril de 2012 13:15, Alisson alissongoncal...@bsd.com.brescreveu: seguindo a orientação de voces... fiz algumas alterações e instalei o freevrrp para os /30 veja como ficou no rc.conf do MASTER ipv4_addrs_em0=192.168.1.44/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #MASTER [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.2.49/30 password = vrid1 veja como ficou no rc.conf do SLAVE ipv4_addrs_em0=192.168.1.45/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #SLAVE [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.2.49/30 password = vrid1 e veja o erro do messages Apr 12 12:10:55 master freevrrpd[4490]: initializing threads and all VRID Apr 12 12:10:55 master freevrrpd[4490]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 12:10:55 master freevrrpd[4490]: cannot create an eiface/ether netgraph interface: Address already in use Apr 12 12:10:55 master kernel: ngeth5: link state changed to UP Apr 12 12:10:55 master kernel: ngeth5: link state changed to DOWN Apr 12 12:10:55 master freevrrpd[4490]: ng_ether.ko is probably not loaded, use kldload ng_ether.ko before running freevrrpd Apr 12 12:10:55 master freevrrpd[4490]: cannot create a virtual interface via netgraph: Address already in use Apr 12 12:10:55 master freevrrpd[4490]: check that ng_socket, ng_ether, ng_eiface and ng_bridge are loaded Em 11 de abril de 2012 10:27, Luiz Gustavo luizgust...@luizgustavo.pro.br escreveu: On Wed, 11 Apr 2012 09:59:34 -0300 Alisson alissongoncal...@bsd.com.br wrote: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? [root@desktop] /usr/ports# cat net/freevrrpd/pkg-descr freevrrpd is a VRRP (Virtual Router Redundancy Protocol) implementation daemon under FreeBSD, NetBSD and OpenBSD. This daemon has been rewritten from scratch and is not based on existing projects. In this second public release, you can find: * A daemon RFC 2338 Compliant adapted on FreeBSD systems * Implementation of Virtual Adresses * Support for multiples VRID
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Boa tarde Luiz Gustavo, eu tenho uma interface em outra rede: ifconfig_em0=192.168.50.46/25 Em 13 de abril de 2012 09:32, Alisson alissongoncal...@bsd.com.brescreveu: ok.. eu nao estava entendendo como fazer as configurações no rc.conf ai ficou assim MASTER ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.50.49/30 password = vrid1 SLAVE ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.50.49/30 password = vrid1 /var/log/messages Apr 12 18:09:45 master freevrrpd[2024]: launching daemon in background mode Apr 12 18:09:45 master freevrrpd[2025]: initializing threads and all VRID Apr 12 18:09:45 master freevrrpd[2025]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 18:09:45 master freevrrpd[2025]: no IP address is configured on the real interface em1 Apr 12 18:09:45 master freevrrpd[2025]: cannot join multicast vrrp group without a real ip adress on em1 Apr 12 18:09:45 master freevrrpd[2025]: choose an IP address that is not used on any VRIDs and restart Apr 12 18:09:45 master freevrrpd[2025]: you can set a private address for announcing VRRP packets (eg: 192.168.0.1/24) Apr 12 18:09:45 master freevrrpd[2025]: exiting... Em 12 de abril de 2012 19:15, Alisson alissongoncal...@bsd.com.brescreveu: ok.. eu nao estava entendendo como fazer as configurações no rc.conf ai ficou assim MASTER ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.50.49/30 password = vrid1 SLAVE ifconfig_em1=up /usr/local/etc/freevrrpd.conf [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.50.49/30 password = vrid1 /var/log/messages Apr 12 18:09:45 master freevrrpd[2024]: launching daemon in background mode Apr 12 18:09:45 master freevrrpd[2025]: initializing threads and all VRID Apr 12 18:09:45 master freevrrpd[2025]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 18:09:45 master freevrrpd[2025]: no IP address is configured on the real interface em1 Apr 12 18:09:45 master freevrrpd[2025]: cannot join multicast vrrp group without a real ip adress on em1 Apr 12 18:09:45 master freevrrpd[2025]: choose an IP address that is not used on any VRIDs and restart Apr 12 18:09:45 master freevrrpd[2025]: you can set a private address for announcing VRRP packets (eg: 192.168.0.1/24) Apr 12 18:09:45 master freevrrpd[2025]: exiting... Em 12 de abril de 2012 13:15, Alisson alissongoncal...@bsd.com.brescreveu: seguindo a orientação de voces... fiz algumas alterações e instalei o freevrrp para os /30 veja como ficou no rc.conf do MASTER ipv4_addrs_em0=192.168.1.44/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #MASTER [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.2.49/30 password = vrid1 veja como ficou no rc.conf do SLAVE ipv4_addrs_em0=192.168.1.45/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #SLAVE [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.2.49/30 password = vrid1 e veja o erro do messages Apr 12 12:10:55 master freevrrpd[4490]: initializing threads and all VRID Apr 12 12:10:55 master freevrrpd[4490]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 12:10:55 master freevrrpd[4490]: cannot create an eiface/ether netgraph interface: Address already in use Apr 12 12:10:55 master kernel: ngeth5: link state changed to UP Apr 12 12:10:55 master kernel: ngeth5: link state changed to DOWN Apr 12 12:10:55 master freevrrpd[4490]: ng_ether.ko is probably not loaded, use kldload ng_ether.ko before running freevrrpd Apr 12 12:10:55 master freevrrpd[4490]: cannot create a virtual interface via netgraph: Address already in use Apr 12 12:10:55 master freevrrpd[4490]: check that ng_socket, ng_ether, ng_eiface and ng_bridge are loaded Em 11 de abril de 2012 10:27, Luiz Gustavo luizgust...@luizgustavo.pro.br escreveu: On Wed, 11 Apr 2012 09:59:34 -0300 Alisson alissongoncal...@bsd.com.br wrote: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? [root@desktop] /usr/ports# cat net/freevrrpd/pkg-descr freevrrpd is a VRRP (Virtual Router Redundancy Protocol) implementation daemon under FreeBSD, NetBSD and OpenBSD. This daemon has been rewritten from scratch and is not based on existing projects. In this second public release, you can find: * A daemon RFC 2338 Compliant adapted on FreeBSD systems * Implementation of Virtual Adresses * Support for multiples VRID * Master announce state by sending multicast packets via BPF * Changing routes and IP in 3 seconds * Doing gratuitous ARP requests to clean
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Em 12 de abril de 2012 13:35, Luiz Gustavo luizgust...@luizgustavo.pro.brescreveu: Você setou o ip 192.168.2.48/30 nas duas maquinas, de cara ai já vai dar conflito de ip, somente dê um up na interface via rc.conf ifconfig_em1=up deixe que o freevrrpd atribue o ip na interface, a comunicação que ele faz com o outro lado é via broadcast Luiz, Dessa forma você está criando tráfego que será jogado para o cliente, só que ele não vai enxergar por estar em uma subnet diferente. Mas pelo jeito é a única solução... Sds, -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Você setou o ip 192.168.2.48/30 nas duas maquinas, de cara ai já vai dar conflito de ip, somente dê um up na interface via rc.conf ifconfig_em1=up deixe que o freevrrpd atribue o ip na interface, a comunicação que ele faz com o outro lado é via broadcast On Thu, 12 Apr 2012 13:15:17 -0300 Alisson alissongoncal...@bsd.com.br wrote: seguindo a orientação de voces... fiz algumas alterações e instalei o freevrrp para os /30 veja como ficou no rc.conf do MASTER ipv4_addrs_em0=192.168.1.44/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #MASTER [VRID] serverid = 1 interface = em1 priority = 101 addr = 192.168.2.49/30 password = vrid1 veja como ficou no rc.conf do SLAVE ipv4_addrs_em0=192.168.1.45/25 ipv4_addrs_em1=192.168.2.48/30 /usr/local/etc/freevrrpd.conf #SLAVE [VRID] serverid = 1 interface = em1 priority = 100 addr = 192.168.2.49/30 password = vrid1 e veja o erro do messages Apr 12 12:10:55 master freevrrpd[4490]: initializing threads and all VRID Apr 12 12:10:55 master freevrrpd[4490]: reading configuration file /usr/local/etc/freevrrpd.conf Apr 12 12:10:55 master freevrrpd[4490]: cannot create an eiface/ether netgraph interface: Address already in use Apr 12 12:10:55 master kernel: ngeth5: link state changed to UP Apr 12 12:10:55 master kernel: ngeth5: link state changed to DOWN Apr 12 12:10:55 master freevrrpd[4490]: ng_ether.ko is probably not loaded, use kldload ng_ether.ko before running freevrrpd Apr 12 12:10:55 master freevrrpd[4490]: cannot create a virtual interface via netgraph: Address already in use Apr 12 12:10:55 master freevrrpd[4490]: check that ng_socket, ng_ether, ng_eiface and ng_bridge are loaded Em 11 de abril de 2012 10:27, Luiz Gustavo luizgust...@luizgustavo.pro.brescreveu: On Wed, 11 Apr 2012 09:59:34 -0300 Alisson alissongoncal...@bsd.com.br wrote: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? [root@desktop] /usr/ports# cat net/freevrrpd/pkg-descr freevrrpd is a VRRP (Virtual Router Redundancy Protocol) implementation daemon under FreeBSD, NetBSD and OpenBSD. This daemon has been rewritten from scratch and is not based on existing projects. In this second public release, you can find: * A daemon RFC 2338 Compliant adapted on FreeBSD systems * Implementation of Virtual Adresses * Support for multiples VRID * Master announce state by sending multicast packets via BPF * Changing routes and IP in 3 seconds * Doing gratuitous ARP requests to clean the cache of all hosts * Election between different slave servers * Same host can be Slave and Master at the same time * Automatic Downgrade to Slave if a Master is up again * Anti-Address Conflict system * Multi-threaded vrrp daemon * Plain text password authentication * Using now only one BPF device for all VRID * Support netmask for Virtual IP addresses * Support for monitored circuit and dependances between VRIDs * Support for VLAN pseudo devices under *BSD -- --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br -- --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? Em 10 de abril de 2012 19:16, Alisson alisson...@gmail.com escreveu: Fala pessoal, Tudo blz? Sobre carp.. tenho duvidas quanto a ips /30 Se na minha interface sis0 eu tenho o IP 10.1.1.1/30 e no cliente eu tenho 10.1.1.2/30 Como eu faria para deixa-lo com alta disponibilidade via carp? No slave eu teria ifconfig_carp0=vhid 1 advskew 100 pass teste 10.1.1.1/30 e no master ifconfig_carp0=vhid 1 pass teste 10.1.1.1/30 e qua IP eu colocaria na interface sis0 para que eu possa ter essa alta disponbilidade do ip 10.1.1.1? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Uma sugestão. Criar um CARP em outra interface, monitorando o 'servidor' em si. Na placa sis0, sem IP algum. Então, através do ifstated monitoraria este CARP. Subiria o IP no servidor que estiver como master no carp. E derrubaria o IP caso fosse para backup ou init ou down. Em 10 de abril de 2012 19:16, Alisson alisson...@gmail.com escreveu: Fala pessoal, Tudo blz? Sobre carp.. tenho duvidas quanto a ips /30 Se na minha interface sis0 eu tenho o IP 10.1.1.1/30 e no cliente eu tenho 10.1.1.2/30 Como eu faria para deixa-lo com alta disponibilidade via carp? No slave eu teria ifconfig_carp0=vhid 1 advskew 100 pass teste 10.1.1.1/30 e no master ifconfig_carp0=vhid 1 pass teste 10.1.1.1/30 e qua IP eu colocaria na interface sis0 para que eu possa ter essa alta disponbilidade do ip 10.1.1.1? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
vale lembra que placas sis0, onboard são pouco melhores que realtreko mais dão dor de cabeça tambem seria melhor opção intel ou 3com. Em 11 de abril de 2012 10:03, Rafael Ganascim rganas...@gmail.com escreveu: Uma sugestão. Criar um CARP em outra interface, monitorando o 'servidor' em si. Na placa sis0, sem IP algum. Então, através do ifstated monitoraria este CARP. Subiria o IP no servidor que estiver como master no carp. E derrubaria o IP caso fosse para backup ou init ou down. Em 10 de abril de 2012 19:16, Alisson alisson...@gmail.com escreveu: Fala pessoal, Tudo blz? Sobre carp.. tenho duvidas quanto a ips /30 Se na minha interface sis0 eu tenho o IP 10.1.1.1/30 e no cliente eu tenho 10.1.1.2/30 Como eu faria para deixa-lo com alta disponibilidade via carp? No slave eu teria ifconfig_carp0=vhid 1 advskew 100 pass teste 10.1.1.1/30 e no master ifconfig_carp0=vhid 1 pass teste 10.1.1.1/30 e qua IP eu colocaria na interface sis0 para que eu possa ter essa alta disponbilidade do ip 10.1.1.1? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
On Wed, 11 Apr 2012 09:59:34 -0300 Alisson alissongoncal...@bsd.com.br wrote: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? [root@desktop] /usr/ports# cat net/freevrrpd/pkg-descr freevrrpd is a VRRP (Virtual Router Redundancy Protocol) implementation daemon under FreeBSD, NetBSD and OpenBSD. This daemon has been rewritten from scratch and is not based on existing projects. In this second public release, you can find: * A daemon RFC 2338 Compliant adapted on FreeBSD systems * Implementation of Virtual Adresses * Support for multiples VRID * Master announce state by sending multicast packets via BPF * Changing routes and IP in 3 seconds * Doing gratuitous ARP requests to clean the cache of all hosts * Election between different slave servers * Same host can be Slave and Master at the same time * Automatic Downgrade to Slave if a Master is up again * Anti-Address Conflict system * Multi-threaded vrrp daemon * Plain text password authentication * Using now only one BPF device for all VRID * Support netmask for Virtual IP addresses * Support for monitored circuit and dependances between VRIDs * Support for VLAN pseudo devices under *BSD -- --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Alisson, Pode ser limitação técnica minha, mas até onde eu sei, você precisa de no mínimo 3 IP, é assim que eu venho fazendo desde que mexo com carp: 1 para o membro ativo do cluster 1 para o membro backup do cluster 1 para a interface virtual do CARP E daí você aponta as rotas para a interface virtual. Estes 3 IP tem que estar na mesma rede. No OPENBSD tem a opção do CARPDEV, aí elimina a necessidade dos IP. No openbsd se você não declarar o carpdev ele faz o match da interface pela máscara. Se colocar o carpdev ele ignora isto e fixa naquela interface, que pode inclusive ter outro IP de outra rede nada a ver com isto, ou até não ter IP. É algo estranho de se acostumar para quem usa cisco por exemplo. Eu passei por este problema quando migrei de OPENBSD para FREEBSD, os CARP ficavam em estado de standby, porque não encontravam a qual interface associar. Acho que ainda está desde jeito, procurei no man do carp[1] e as opções carpdev não tem, diferente do open[2] [] ifconfig/carpN/vhid/vhid/[pass/senha/] [carpdev/carpdev/] \ [...] Se tentar fazer isto no free vai falar que a opção carpdev é desconhecida, :-( [1] http://www.freebsd.org/doc/handbook/carp.html [2] http://www.openbsd.org/faq/pf/pt/carp.html O jeito aí ou é vocÊ conseguir um /29, ou então instalar openbsd. Em 11/04/2012 09:59, Alisson escreveu: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? Em 10 de abril de 2012 19:16, Alissonalisson...@gmail.com escreveu: Fala pessoal, Tudo blz? Sobre carp.. tenho duvidas quanto a ips /30 Se na minha interface sis0 eu tenho o IP 10.1.1.1/30 e no cliente eu tenho 10.1.1.2/30 Como eu faria para deixa-lo com alta disponibilidade via carp? No slave eu teria ifconfig_carp0=vhid 1 advskew 100 pass teste 10.1.1.1/30 e no master ifconfig_carp0=vhid 1 pass teste 10.1.1.1/30 e qua IP eu colocaria na interface sis0 para que eu possa ter essa alta disponbilidade do ip 10.1.1.1? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Opa Luiz, o VRRP para associar á uma interface física você especifica manualmente? Eliminando a necessidade da interface ter que ter um IP da mesma máscara da interface virtual? []s Em 11/04/2012 10:27, Luiz Gustavo escreveu: On Wed, 11 Apr 2012 09:59:34 -0300 Alissonalissongoncal...@bsd.com.br wrote: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? [root@desktop] /usr/ports# cat net/freevrrpd/pkg-descr freevrrpd is a VRRP (Virtual Router Redundancy Protocol) implementation daemon under FreeBSD, NetBSD and OpenBSD. This daemon has been rewritten from scratch and is not based on existing projects. In this second public release, you can find: * A daemon RFC 2338 Compliant adapted on FreeBSD systems * Implementation of Virtual Adresses * Support for multiples VRID * Master announce state by sending multicast packets via BPF * Changing routes and IP in 3 seconds * Doing gratuitous ARP requests to clean the cache of all hosts * Election between different slave servers * Same host can be Slave and Master at the same time * Automatic Downgrade to Slave if a Master is up again * Anti-Address Conflict system * Multi-threaded vrrp daemon * Plain text password authentication * Using now only one BPF device for all VRID * Support netmask for Virtual IP addresses * Support for monitored circuit and dependances between VRIDs * Support for VLAN pseudo devices under *BSD - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Sim, da uma zoiada ai no man dele pra entender: http://www.freebsd.org/cgi/man.cgi?query=freevrrpdapropos=0sektion=0manpath=FreeBSD+9.0-RELEASE+and+Portsarch=defaultformat=html On Wed, 11 Apr 2012 12:30:49 -0300 Renato Frederick ren...@frederick.eti.br wrote: Opa Luiz, o VRRP para associar á uma interface física você especifica manualmente? Eliminando a necessidade da interface ter que ter um IP da mesma máscara da interface virtual? []s Em 11/04/2012 10:27, Luiz Gustavo escreveu: On Wed, 11 Apr 2012 09:59:34 -0300 Alissonalissongoncal...@bsd.com.br wrote: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? [root@desktop] /usr/ports# cat net/freevrrpd/pkg-descr freevrrpd is a VRRP (Virtual Router Redundancy Protocol) implementation daemon under FreeBSD, NetBSD and OpenBSD. This daemon has been rewritten from scratch and is not based on existing projects. In this second public release, you can find: * A daemon RFC 2338 Compliant adapted on FreeBSD systems * Implementation of Virtual Adresses * Support for multiples VRID * Master announce state by sending multicast packets via BPF * Changing routes and IP in 3 seconds * Doing gratuitous ARP requests to clean the cache of all hosts * Election between different slave servers * Same host can be Slave and Master at the same time * Automatic Downgrade to Slave if a Master is up again * Anti-Address Conflict system * Multi-threaded vrrp daemon * Plain text password authentication * Using now only one BPF device for all VRID * Support netmask for Virtual IP addresses * Support for monitored circuit and dependances between VRIDs * Support for VLAN pseudo devices under *BSD - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
VRRP eu cheguei a usar no FreeBSD mas não funcionou muito legal... Entre FreeBSDs acho melhor o CARP, só não sei se irá atender o seu cenário. -- Eduardo Schoedler Em 11 de abril de 2012 14:04, Luiz Gustavo luizgust...@luizgustavo.pro.brescreveu: Sim, da uma zoiada ai no man dele pra entender: http://www.freebsd.org/cgi/man.cgi?query=freevrrpdapropos=0sektion=0manpath=FreeBSD+9.0-RELEASE+and+Portsarch=defaultformat=html On Wed, 11 Apr 2012 12:30:49 -0300 Renato Frederick ren...@frederick.eti.br wrote: Opa Luiz, o VRRP para associar á uma interface física você especifica manualmente? Eliminando a necessidade da interface ter que ter um IP da mesma máscara da interface virtual? []s Em 11/04/2012 10:27, Luiz Gustavo escreveu: On Wed, 11 Apr 2012 09:59:34 -0300 Alissonalissongoncal...@bsd.com.br wrote: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? [root@desktop] /usr/ports# cat net/freevrrpd/pkg-descr freevrrpd is a VRRP (Virtual Router Redundancy Protocol) implementation daemon under FreeBSD, NetBSD and OpenBSD. This daemon has been rewritten from scratch and is not based on existing projects. In this second public release, you can find: * A daemon RFC 2338 Compliant adapted on FreeBSD systems * Implementation of Virtual Adresses * Support for multiples VRID * Master announce state by sending multicast packets via BPF * Changing routes and IP in 3 seconds * Doing gratuitous ARP requests to clean the cache of all hosts * Election between different slave servers * Same host can be Slave and Master at the same time * Automatic Downgrade to Slave if a Master is up again * Anti-Address Conflict system * Multi-threaded vrrp daemon * Plain text password authentication * Using now only one BPF device for all VRID * Support netmask for Virtual IP addresses * Support for monitored circuit and dependances between VRIDs * Support for VLAN pseudo devices under *BSD -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
o lance todo do freevrrp é isso, é um pouco antigo e não tem tanta integração quanto tem o carp. é uso ele como alternativa, em cenários onde eu só tenho um /30 disponivel. On Wed, 11 Apr 2012 14:07:30 -0300 Eduardo Schoedler lis...@esds.com.br wrote: VRRP eu cheguei a usar no FreeBSD mas não funcionou muito legal... Entre FreeBSDs acho melhor o CARP, só não sei se irá atender o seu cenário. -- Eduardo Schoedler Em 11 de abril de 2012 14:04, Luiz Gustavo luizgust...@luizgustavo.pro.brescreveu: Sim, da uma zoiada ai no man dele pra entender: http://www.freebsd.org/cgi/man.cgi?query=freevrrpdapropos=0sektion=0manpath=FreeBSD+9.0-RELEASE+and+Portsarch=defaultformat=html On Wed, 11 Apr 2012 12:30:49 -0300 Renato Frederick ren...@frederick.eti.br wrote: Opa Luiz, o VRRP para associar á uma interface física você especifica manualmente? Eliminando a necessidade da interface ter que ter um IP da mesma máscara da interface virtual? []s Em 11/04/2012 10:27, Luiz Gustavo escreveu: On Wed, 11 Apr 2012 09:59:34 -0300 Alissonalissongoncal...@bsd.com.br wrote: isso que eu temia... entao quer dizer que se voce entrega um /30 para fazer um ponto a ponto para um cliente voce tera que entregar um /29 nao tem outro jeito no FreeBSD? [root@desktop] /usr/ports# cat net/freevrrpd/pkg-descr freevrrpd is a VRRP (Virtual Router Redundancy Protocol) implementation daemon under FreeBSD, NetBSD and OpenBSD. This daemon has been rewritten from scratch and is not based on existing projects. In this second public release, you can find: * A daemon RFC 2338 Compliant adapted on FreeBSD systems * Implementation of Virtual Adresses * Support for multiples VRID * Master announce state by sending multicast packets via BPF * Changing routes and IP in 3 seconds * Doing gratuitous ARP requests to clean the cache of all hosts * Election between different slave servers * Same host can be Slave and Master at the same time * Automatic Downgrade to Slave if a Master is up again * Anti-Address Conflict system * Multi-threaded vrrp daemon * Plain text password authentication * Using now only one BPF device for all VRID * Support netmask for Virtual IP addresses * Support for monitored circuit and dependances between VRIDs * Support for VLAN pseudo devices under *BSD -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Legal Luiz, dei uma olhada na manpage, resolve o problema do /30 mesmo, mas aí a integração com outras ferramentas(bgpd por exemplo), pesa demais! :-) Em 11/04/2012 14:25, Luiz Gustavo escreveu: o lance todo do freevrrp é isso, é um pouco antigo e não tem tanta integração quanto tem o carp. é uso ele como alternativa, em cenários onde eu só tenho um /30 disponivel. On Wed, 11 Apr 2012 14:07:30 -0300 Eduardo Schoedlerlis...@esds.com.br wrote: - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
Certeza Renato, mas convenhamos, ambientes que têm o bgpd rodando, dificilmente vão ter somente /30 disponiveis para carp ;) normalmente eu uso o freevrrp para ambientes que tem adsl e/ou ip privado /30, que dizer, redes pequenas. Abraços On Wed, 11 Apr 2012 14:48:52 -0300 Renato Frederick ren...@frederick.eti.br wrote: Legal Luiz, dei uma olhada na manpage, resolve o problema do /30 mesmo, mas aí a integração com outras ferramentas(bgpd por exemplo), pesa demais! :-) Em 11/04/2012 14:25, Luiz Gustavo escreveu: o lance todo do freevrrp é isso, é um pouco antigo e não tem tanta integração quanto tem o carp. é uso ele como alternativa, em cenários onde eu só tenho um /30 disponivel. On Wed, 11 Apr 2012 14:07:30 -0300 Eduardo Schoedlerlis...@esds.com.br wrote: - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP - Alta disponibilidade de ips /30
No FreeBSD não tem jeito, teria que ter um /29 na sis0(fisica) e o carp(virtual) faria a associação para a placa de rede que tem a máscara compatível. No OpenBSD funciona quando você só tem um ip: você não coloca IP na sis0 e usa a flag carpdev para determinar qual interface ele vai fazer o bind. Teve mais gente passando por isto também, mas acho que estes patchs não foram pra frente[1]. [1] http://lists.freebsd.org/pipermail/freebsd-net/2010-June/025486.html http://lists.freebsd.org/pipermail/freebsd-net/2010-June/025486.html Em 10/04/2012 19:16, Alisson escreveu: Fala pessoal, Tudo blz? Sobre carp.. tenho duvidas quanto a ips /30 Se na minha interface sis0 eu tenho o IP 10.1.1.1/30 e no cliente eu tenho 10.1.1.2/30 Como eu faria para deixa-lo com alta disponibilidade via carp? No slave eu teria ifconfig_carp0=vhid 1 advskew 100 pass teste 10.1.1.1/30 e no master ifconfig_carp0=vhid 1 pass teste 10.1.1.1/30 e qua IP eu colocaria na interface sis0 para que eu possa ter essa alta disponbilidade do ip 10.1.1.1? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP + Openssl
Senhores, Valeu pela dica. A opção *local *no servidor* *resolveu o problema, embora o cliente ainda recebesse pacotes vindos do IP físico do servidor, mas handshake tls foi com sucesso. Neste caso a opção *float* no cliente resolve este novo problema. Uma boa opção ue achei foi a linha *remote-random*, juntamente com dois ou mais linhas *remote ip servidor porta*, dependendo da quantidade de servidores. A acesso é aleatório para o número de servidores, com isso ocorre o balanceamento de conexões e a redundância. Valeu pessoal! -- Fábio Ferrão E conhecereis a verdade e a verdade vos libertará.João 8.32 And you will know the truth and the truth you will free.John 8.32 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP + Openssl
2010/4/1 Fábio Ferrão ferra...@gmail.com: Senhores, Instalei dois servidores openvpn para trabalhar com redundância e com isso na interface de internet configurei o carp para trabalhar com o IP virtual, a fim de garantir que se o servidor master cair o backup assume, tendo assim alta disponibilidade. Fiz todos os testes de failover e tudo estava ok. O problema foi quando tentei a conexão com o servidor openvpn, pois como a idéia é que o usuário faça a conexão no ip do carp, o arquivo de conf do openvpn estava apontando para o IP do carp, com isso o a conexão iniciava com o IP do carp como destino, mas o servidor não respondia com o ip do carp como origem, mas com o ip físico e neste caso o openvpn não consegue terminar o handshake TLS, pois a resposta vem de um ip que não foi de destino do início do handshake. Exemplo com ips privados: INÍCIO: cliente (10.10.10.5) - carp (192.168.10.1) RESPOSTA: servidor (192.168.10.10) - cliente (10.10.10.5) onde, cliente é o usuário da vpn, carp é o ip virtual do carp e servidor é o ip físico do servidor. Minha pergunta é se alguém sabe como fazer o servidor responder com o IP do carp, para não ter esse problema ou se alguém possui alguma outra alternativa? Apenas para registro, fiz um teste com uma conexão ssh para o ip do carp e o servidor respondeu com o ip do carp como origem numa boa. Será que é configuração no openvpn? Provavelmente. Edita o arquivo de configuração do OpenVPN e coloca o IP virtual no parâmetro local do arquivo. Vou continuar pesquisando. Abraço a todos!!! -- Matheus Weber da Conceição - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP + Openssl
Ola Fabio, Tentou colocar local ip_do_carp nas confs do openvpn server? Joel Em 1 de abril de 2010 17:17, Fábio Ferrão ferra...@gmail.com escreveu: Senhores, Instalei dois servidores openvpn para trabalhar com redundância e com isso na interface de internet configurei o carp para trabalhar com o IP virtual, a fim de garantir que se o servidor master cair o backup assume, tendo assim alta disponibilidade. Fiz todos os testes de failover e tudo estava ok. O problema foi quando tentei a conexão com o servidor openvpn, pois como a idéia é que o usuário faça a conexão no ip do carp, o arquivo de conf do openvpn estava apontando para o IP do carp, com isso o a conexão iniciava com o IP do carp como destino, mas o servidor não respondia com o ip do carp como origem, mas com o ip físico e neste caso o openvpn não consegue terminar o handshake TLS, pois a resposta vem de um ip que não foi de destino do início do handshake. Exemplo com ips privados: INÍCIO: cliente (10.10.10.5) - carp (192.168.10.1) RESPOSTA: servidor (192.168.10.10) - cliente (10.10.10.5) onde, cliente é o usuário da vpn, carp é o ip virtual do carp e servidor é o ip físico do servidor. Minha pergunta é se alguém sabe como fazer o servidor responder com o IP do carp, para não ter esse problema ou se alguém possui alguma outra alternativa? Apenas para registro, fiz um teste com uma conexão ssh para o ip do carp e o servidor respondeu com o ip do carp como origem numa boa. Será que é configuração no openvpn? Vou continuar pesquisando. Abraço a todos!!! -- Fábio Ferrão E conhecereis a verdade e a verdade vos libertará. João 8.32 And you will know the truth and the truth you will free. John 8.32 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP não funciona no rc.conf
Em 24 de fevereiro de 2010 12:47, Fábio Ferrão ferra...@gmail.com escreveu: Senhores, Utilizo dois firewalls FreeBSD/IPFW com o protocolo CARP para redundância e o pacote IFSTATED para testar as interfaces do MASTER e realizar a mudança do firewall BACKUP para MASTER em caso de falha no MASTER. Atualmente faço a inicialização do CARP via /etc/rc.local, pois sempre que coloco as configurações do CARP no /etc/rc.conf, o firewall sobe com a variável *net.inet.carp.suppress_preempt *com o valor *3, *que é o número de interfaces CARP configuradas e com isso a redundância fica comprometida em caso de falha do MASTER. O correto é esta variável possuir o valor *0 (zero).* O IFSTATED é inicializado sem problemas via /etc/rc.conf. Atualmente utilizo a versão 7.2-STABLE nestes firewalls. Já testei em dois firewalls com a versão 8.0-STABLE e funcionou redondo, porém o que me deixa mais encucado é que em outro par de firewalls que possuo com 7.2-STABLE, configuro o CARP no /etc/rc.conf e funciona perfeitamente. Não consigo entender o motivo destes erros. Alguém poderia ajudar? Verifique a sintaxe do seu rc.conf, se mesmo assim não funcionar faça seu script do carp iniciar em modo debug. Se eu não me engano é o /etc/rc.d/netif que sobe o carp. Adicione um -x após o /bin/sh (#!/bin/sh -x) ps. se não for esse o script tem que descobrir qual é!! Abs. -- Fábio Ferrão E conhecereis a verdade e a verdade vos libertará. João 8.32 And you will know the truth and the truth you will free. John 8.32 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP e Linux
2009/9/15 josé elias ribeiro moreira jeliasmore...@gmail.com Olá a todos, não sei se este assunto é mais indicado para um OFF-Topic, mas se for me desculpem. Estou pesquisando sobre alta disponibilidade utilizando CARP em ambientes Linux, o pacote em questão é UCARP. No mundo BSD existe a ferramenta PFSYNC que permite não perder pacotes em caso de falhas em um dos nós do cluster. Gostaria de saber se alguem aqui da lista conhece ferramenta similar para o mundo Linux. Acho que nem em [OFF] entra, mas já está ai, agora é ver se alguém conhece. flames /dev/null (tm) irado -- Antônio Rogério Lins de A. Pessoa Técnico em Tecnologia da Informação CREA-PE - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP e Linux
Em Tue, 15 Sep 2009 10:32:48 -0300 josé elias ribeiro moreira jeliasmore...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: não sei se este assunto é mais indicado para um OFF-Topic, mas se for me desculpem. não é off.. é desafô.. err.. bem.. seria mais próprio em lista Linux, eventualmente. contudo entendo que o colega deva estar na situação de não ter encontrado informação suficiente a respeito, dai o post. sugestão FORTE: se alguém souber, que não se faça de rogado mas PREFERENCIALMENTE responda em pvt. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
Está estranho meu MPD.A conexao com essa VPN( mpd no FreeBSD ) esta intermitente. Este mesmo mikrotik tem outra VPN com um poptop rodando em OpenBSD e nao esta caindo direto. 00:36:58 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 00:36:58 pptp,ppp,info VPNA_Diveo: disconnected 00:36:58 pptp,ppp,info VPNA_Diveo: initializing... 00:36:58 pptp,ppp,info VPNA_Diveo: dialing... 00:36:58 pptp,ppp,info VPNA_Diveo: authenticated 00:36:59 pptp,ppp,info VPNA_Diveo: connected 01:14:29 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 01:14:29 pptp,ppp,info VPNA_Diveo: disconnected 01:14:29 pptp,ppp,info VPNA_Diveo: initializing... 01:14:29 pptp,ppp,info VPNA_Diveo: dialing... 01:14:29 pptp,ppp,info VPNA_Diveo: authenticated 01:14:30 pptp,ppp,info VPNA_Diveo: connected 01:52:00 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 01:52:00 pptp,ppp,info VPNA_Diveo: disconnected 01:52:00 pptp,ppp,info VPNA_Diveo: initializing... 01:52:00 pptp,ppp,info VPNA_Diveo: dialing... 01:52:01 pptp,ppp,info VPNA_Diveo: authenticated 01:52:02 pptp,ppp,info VPNA_Diveo: connected 02:29:32 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 02:29:32 pptp,ppp,info VPNA_Diveo: disconnected 02:29:32 pptp,ppp,info VPNA_Diveo: initializing... 02:29:32 pptp,ppp,info VPNA_Diveo: dialing... 02:29:34 pptp,ppp,info VPNA_Diveo: authenticated 02:29:34 pptp,ppp,info VPNA_Diveo: connected 03:07:04 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 03:07:04 pptp,ppp,info VPNA_Diveo: disconnected 03:07:04 pptp,ppp,info VPNA_Diveo: initializing... 03:07:04 pptp,ppp,info VPNA_Diveo: dialing... 03:07:06 pptp,ppp,info VPNA_Diveo: authenticated 03:07:06 pptp,ppp,info VPNA_Diveo: connected 03:44:37 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 03:44:37 pptp,ppp,info VPNA_Diveo: disconnected 03:44:37 pptp,ppp,info VPNA_Diveo: initializing... 03:44:37 pptp,ppp,info VPNA_Diveo: dialing... 03:44:37 pptp,ppp,info VPNA_Diveo: authenticated 03:44:37 pptp,ppp,info VPNA_Diveo: connected 04:22:07 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 04:22:07 pptp,ppp,info VPNA_Diveo: disconnected 04:22:07 pptp,ppp,info VPNA_Diveo: initializing... 04:22:07 pptp,ppp,info VPNA_Diveo: dialing... 04:22:09 pptp,ppp,info VPNA_Diveo: authenticated 04:22:09 pptp,ppp,info VPNA_Diveo: connected 04:59:39 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 04:59:40 pptp,ppp,info VPNA_Diveo: disconnected 04:59:40 pptp,ppp,info VPNA_Diveo: initializing... 04:59:40 pptp,ppp,info VPNA_Diveo: dialing... 04:59:40 pptp,ppp,info VPNA_Diveo: authenticated 04:59:41 pptp,ppp,info VPNA_Diveo: connected 05:37:11 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 05:37:11 pptp,ppp,info VPNA_Diveo: disconnected 05:37:11 pptp,ppp,info VPNA_Diveo: initializing... 05:37:11 pptp,ppp,info VPNA_Diveo: dialing... 05:37:11 pptp,ppp,info VPNA_Diveo: authenticated 05:37:11 pptp,ppp,info VPNA_Diveo: connected 06:14:41 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 06:14:42 pptp,ppp,info VPNA_Diveo: disconnected 06:14:42 pptp,ppp,info VPNA_Diveo: initializing... 06:14:42 pptp,ppp,info VPNA_Diveo: dialing... 06:14:44 pptp,ppp,info VPNA_Diveo: authenticated 06:14:44 pptp,ppp,info VPNA_Diveo: connected 06:52:14 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 06:52:14 pptp,ppp,info VPNA_Diveo: disconnected 06:52:14 pptp,ppp,info VPNA_Diveo: initializing... 06:52:14 pptp,ppp,info VPNA_Diveo: dialing... 06:52:14 pptp,ppp,info VPNA_Diveo: authenticated 06:52:14 pptp,ppp,info VPNA_Diveo: connected 07:29:44 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 07:29:44 pptp,ppp,info VPNA_Diveo: disconnected 07:29:44 pptp,ppp,info VPNA_Diveo: initializing... 07:29:44 pptp,ppp,info VPNA_Diveo: dialing... 07:29:45 pptp,ppp,info VPNA_Diveo: authenticated 07:29:45 pptp,ppp,info VPNA_Diveo: connected 08:07:15 pptp,ppp,info VPNA_Diveo: terminating... - disconnected 08:07:15 pptp,ppp,info VPNA_Diveo: disconnected 08:07:15 pptp,ppp,info VPNA_Diveo: initializing... 08:07:15 pptp,ppp,info VPNA_Diveo: dialing... 08:07:17 pptp,ppp,info VPNA_Diveo: authenticated 08:07:17 pptp,ppp,info VPNA_Diveo: connected 2009/6/9 Ricardo Souza ricardo.so...@ti.cmtsp.com.br MEu intuito é usar carp+mpd para meus clientes nao precisarem mudar nada se uma das maquinas der problema.E eu utilizo o carp neste conceito. Um master e um slave. Entao, o mpd nao suporta este topologia? Q pena. 2009/6/9 Giancarlo Rubio gianru...@gmail.com 2009/6/9 Ricardo Souza ricardo.so...@ti.cmtsp.com.br: Consegui conectar.Porem os clientes são MikroTiks, e a conexao fica caindo e voltando toda hora. Estou rodando o mpd em -b agora.. onde vejo os logs de erro? Agora coloquei alguns Mikrotiks para se conectarem no IP real. Depois posto o resultado. Somente agora compreendi o teu problema. Vou ser simples e direto: - Carp é um protocolo que atua nas camadas link e ip( 2 e 3 ) - Mpd é camada de aplicação (7), logo o mpd precisaria de algo que sincronizasse os estados de
Re: [FUG-BR] carp + mpd
Consegui conectar.Porem os clientes são MikroTiks, e a conexao fica caindo e voltando toda hora. Estou rodando o mpd em -b agora.. onde vejo os logs de erro? Agora coloquei alguns Mikrotiks para se conectarem no IP real. Depois posto o resultado. 2009/6/2 Ricardo Souza ricardo.so...@ti.cmtsp.com.br EU nao consigo me conectar no mpd5 ( 1723) no IP virtual. Minhas regras: #Libera VPN Server pass in quick on $ext_if proto tcp from any to { carp0, $ext_if } port 1723 synproxy state ( max-src-conn 2, max-src-conn-rate 25/5, overload bruteforce flush global ) pass in quick on $ext_if proto gre from any to { carp0, $ext_if } keep state Interesting ports on 200.143.33.139: PORT STATE SERVICE 1723/tcp open pptp 2009/6/2 Giancarlo Rubio gianru...@gmail.com 2009/6/2 Ricardo Souza ricardo.so...@ti.cmtsp.com.br: O ssh funciona na boa. Ajax# tcpdump -ni bce0 port 1723 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bce0, link-type EN10MB (Ethernet), capture size 96 bytes 11:30:25.374233 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:25.374260 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 3757663964 win 0 11:30:26.067773 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:26.067785 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 1 win 0 11:30:26.616533 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:26.616543 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 1 win 0 Ajax# mpd5 Multi-link PPP daemon for FreeBSD process 27053 started, version 5.1 (r...@angel.cmtsp.com.br 15:56 22-Apr-2009) PPTP: waiting for connection on 200.143.33.139 1723 [Clients] O problema esta no mpd5. O q pode ser? Seu problema está em conectar no ip virtual ou ip real?? Descreva seu cenario novamente. A unica coisa que achei sobre carp + mpd eh em russo [1].. de uma olhada se ajuda em algo [1] http://translate.google.com/translate?prev=hphl=pt-BRjs=nu=http%3A%2F%2Fwww.opennet.ru%2Fopenforum%2FvsluhforumID1%2F84151.html%232sl=rutl=enhistory_state0= -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
2009/6/9 Ricardo Souza ricardo.so...@ti.cmtsp.com.br: Consegui conectar.Porem os clientes são MikroTiks, e a conexao fica caindo e voltando toda hora. Estou rodando o mpd em -b agora.. onde vejo os logs de erro? Agora coloquei alguns Mikrotiks para se conectarem no IP real. Depois posto o resultado. Somente agora compreendi o teu problema. Vou ser simples e direto: - Carp é um protocolo que atua nas camadas link e ip( 2 e 3 ) - Mpd é camada de aplicação (7), logo o mpd precisaria de algo que sincronizasse os estados de memória das sessões e dos objetos dele para funcionar. Se o mpd não faz essa sincroniza, procure por algo similar que suporte cluster, alta disponibilidade ou algo assim. Uma outra solução é deixar um host do carp como backup e o outro com o master, caso uma dessas máquinas caia a outra assumirá (voce perderá as conexões mpd dos clientes, mais logo elas serão refeitas). Da forma que vocês está usando jamais irá funcionar!!! -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
MEu intuito é usar carp+mpd para meus clientes nao precisarem mudar nada se uma das maquinas der problema.E eu utilizo o carp neste conceito. Um master e um slave. Entao, o mpd nao suporta este topologia? Q pena. 2009/6/9 Giancarlo Rubio gianru...@gmail.com 2009/6/9 Ricardo Souza ricardo.so...@ti.cmtsp.com.br: Consegui conectar.Porem os clientes são MikroTiks, e a conexao fica caindo e voltando toda hora. Estou rodando o mpd em -b agora.. onde vejo os logs de erro? Agora coloquei alguns Mikrotiks para se conectarem no IP real. Depois posto o resultado. Somente agora compreendi o teu problema. Vou ser simples e direto: - Carp é um protocolo que atua nas camadas link e ip( 2 e 3 ) - Mpd é camada de aplicação (7), logo o mpd precisaria de algo que sincronizasse os estados de memória das sessões e dos objetos dele para funcionar. Se o mpd não faz essa sincroniza, procure por algo similar que suporte cluster, alta disponibilidade ou algo assim. Uma outra solução é deixar um host do carp como backup e o outro com o master, caso uma dessas máquinas caia a outra assumirá (voce perderá as conexões mpd dos clientes, mais logo elas serão refeitas). Da forma que vocês está usando jamais irá funcionar!!! -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
O ssh funciona na boa. Ajax# tcpdump -ni bce0 port 1723 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bce0, link-type EN10MB (Ethernet), capture size 96 bytes 11:30:25.374233 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:25.374260 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 3757663964 win 0 11:30:26.067773 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:26.067785 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 1 win 0 11:30:26.616533 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:26.616543 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 1 win 0 Ajax# mpd5 Multi-link PPP daemon for FreeBSD process 27053 started, version 5.1 (r...@angel.cmtsp.com.br 15:56 22-Apr-2009) PPTP: waiting for connection on 200.143.33.139 1723 [Clients] O problema esta no mpd5. O q pode ser? 2009/6/1 Giancarlo Rubio gianru...@gmail.com 2009/6/1 Ricardo Souza ricardo.so...@ti.cmtsp.com.br: ALguem ai roda mpd5 com carp e poderia me ajudar. Valeu Olhando a thread, e palpitando é alguma configu no seu mpd ou no carp. Pergunta: Outros procotolos como ssh ou web funcionam com ele?? Se sim vc o problema tá no mpd, no seu teu tcpdump soh vejo conexão externa para o servidor e nd de resposta, apesar de na sintaxe ter um dst port. Rode um tcpdumo sem o dst port usando apenas port #tcpdump -ni iface port 1723 - Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
2009/6/2 Ricardo Souza ricardo.so...@ti.cmtsp.com.br: O ssh funciona na boa. Ajax# tcpdump -ni bce0 port 1723 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bce0, link-type EN10MB (Ethernet), capture size 96 bytes 11:30:25.374233 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:25.374260 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 3757663964 win 0 11:30:26.067773 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:26.067785 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 1 win 0 11:30:26.616533 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:26.616543 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 1 win 0 Ajax# mpd5 Multi-link PPP daemon for FreeBSD process 27053 started, version 5.1 (r...@angel.cmtsp.com.br 15:56 22-Apr-2009) PPTP: waiting for connection on 200.143.33.139 1723 [Clients] O problema esta no mpd5. O q pode ser? Seu problema está em conectar no ip virtual ou ip real?? Descreva seu cenario novamente. A unica coisa que achei sobre carp + mpd eh em russo [1].. de uma olhada se ajuda em algo [1] http://translate.google.com/translate?prev=hphl=pt-BRjs=nu=http%3A%2F%2Fwww.opennet.ru%2Fopenforum%2FvsluhforumID1%2F84151.html%232sl=rutl=enhistory_state0= -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
EU nao consigo me conectar no mpd5 ( 1723) no IP virtual. Minhas regras: #Libera VPN Server pass in quick on $ext_if proto tcp from any to { carp0, $ext_if } port 1723 synproxy state ( max-src-conn 2, max-src-conn-rate 25/5, overload bruteforce flush global ) pass in quick on $ext_if proto gre from any to { carp0, $ext_if } keep state Interesting ports on 200.143.33.139: PORT STATE SERVICE 1723/tcp open pptp 2009/6/2 Giancarlo Rubio gianru...@gmail.com 2009/6/2 Ricardo Souza ricardo.so...@ti.cmtsp.com.br: O ssh funciona na boa. Ajax# tcpdump -ni bce0 port 1723 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bce0, link-type EN10MB (Ethernet), capture size 96 bytes 11:30:25.374233 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:25.374260 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 3757663964 win 0 11:30:26.067773 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:26.067785 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 1 win 0 11:30:26.616533 IP 189.57.43.5.1655 200.143.33.139.1723: S 3757663963:3757663963(0) win 64240 mss 1460,nop,nop,sackOK 11:30:26.616543 IP 200.143.33.139.1723 189.57.43.5.1655: R 0:0(0) ack 1 win 0 Ajax# mpd5 Multi-link PPP daemon for FreeBSD process 27053 started, version 5.1 (r...@angel.cmtsp.com.br 15:56 22-Apr-2009) PPTP: waiting for connection on 200.143.33.139 1723 [Clients] O problema esta no mpd5. O q pode ser? Seu problema está em conectar no ip virtual ou ip real?? Descreva seu cenario novamente. A unica coisa que achei sobre carp + mpd eh em russo [1].. de uma olhada se ajuda em algo [1] http://translate.google.com/translate?prev=hphl=pt-BRjs=nu=http%3A%2F%2Fwww.opennet.ru%2Fopenforum%2FvsluhforumID1%2F84151.html%232sl=rutl=enhistory_state0= -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
ALguem ai roda mpd5 com carp e poderia me ajudar. Valeu 2009/5/28 Ricardo Souza ricardo.so...@ti.cmtsp.com.br Andre, no mpd5.conf estava set pptp self 0.0.0.0 e alterei para set pptp self 200.143.33.xyz Ajax# mpd5 Multi-link PPP daemon for FreeBSD process 11390 started, version 5.1 (r...@angel.cmtsp.com.br 15:56 22-Apr-2009) PPTP: waiting for connection on 200.143.33.xyz 1723 [Clients] Ajax# tcpdump -i bce0 -n 'dst port 1723' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bce0, link-type EN10MB (Ethernet), capture size 96 bytes 15:57:59.689520 IP 189.57.43.5.51230 200.143.33.xyz.1723: S 3843567234:3843567234(0) win 5840 mss 1460,sackOK,timestamp 86690957 0,nop,wscale 1 15:57:59.836257 IP 189.57.43.5.51230 200.143.33.xyz.1723: . ack 2077832531 win 5840 15:58:01.282865 IP 189.57.43.3.25976 200.143.33.xyz.1723: . 1694679719:1694679720(1) ack 4286945424 win 65535: pptp [|pptp] 15:58:02.826682 IP 189.57.43.5.51230 200.143.33.xyz.1723: . ack 1 win 5840 15:58:06.281238 IP 189.57.43.3.25976 200.143.33.xyz.1723: . 0:1(1) ack 1 win 65535: pptp [|pptp] 15:58:08.826991 IP 189.57.43.5.51230 200.143.33.xyz.1723: . ack 1 win 5840 15:58:09.669047 IP 189.57.43.5.51231 200.143.33.xyz.1723: S 3991738020:3991738020(0) win 5840 mss 1460,sackOK,timestamp 86691955 0,nop,wscale 1 15:58:11.280029 IP 189.57.43.3.25976 200.143.33.xyz.1723: . 0:1(1) ack 1 win 65535: pptp [|pptp] 15:58:11.419793 IP 189.57.43.5.51232 200.143.33.xyz.1723: S 4016604171:4016604171(0) win 5840 mss 1460,sackOK,timestamp 86692130 0,nop,wscale 1 IP 189.57.43.3 fiz telnet para o IP do carp ( 200.143.33.xyz) e do 189.57.43.5 tentei conectar pelo vpn client padrão do windows. Estranho né? 2009/5/28 André Luiz de Souza andreso...@gmail.com Ricardo Souza escreveu: A regra está assim:Trinity# cat pf.conf |grep 1723 pass in quick on $ext_if proto tcp from any to { carp0, $ext_if } port 1723 keep state ( max-src-conn 2, max-src-conn-rate 15/5, overload bruteforce_pptp flush global ) Esta aberto tanto na fisica como no carp. O nmap mostra a porta como open no carp. E ai? No mpd.conf, deve ter uma linha com a configuração set pptp self... Lá tá apontando pro IP do carp? Cocê lembrou de liberar o protocolo GRE no PF ? Qual o risco da maquina que você está tentando conectar (cliente) ter entrado no overload da regra? Aqui eu uso o mpd5 com carp. Não tive maiores problemas com essa configuração. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
2009/6/1 Ricardo Souza ricardo.so...@ti.cmtsp.com.br: ALguem ai roda mpd5 com carp e poderia me ajudar. Valeu Olhando a thread, e palpitando é alguma configu no seu mpd ou no carp. Pergunta: Outros procotolos como ssh ou web funcionam com ele?? Se sim vc o problema tá no mpd, no seu teu tcpdump soh vejo conexão externa para o servidor e nd de resposta, apesar de na sintaxe ter um dst port. Rode um tcpdumo sem o dst port usando apenas port #tcpdump -ni iface port 1723 - Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
Ricardo Souza escreveu: Boa tarde pessoal, Tenho 2 FreeBSD 7.1 em carp e mpd5 rodando em ambs. Eu só consigo fechar VPN se eu conectar no IP físico de cada Server, quando eu tento me conectar no IP do carp não consigo. A porta 1723 esta aberta tanto para os IPS físicos e para o carp em ambos os servers. Você está abrindo a porta 1723 para o IP virtual na interface carpN? Se sim, muda a regra para liberar na interface física. Estou rodando o mpd5 em modo debug e não aparece NADA qd tento me conectar no IP carp. Alguem tem alguma idéia? Valeu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
A regra está assim:Trinity# cat pf.conf |grep 1723 pass in quick on $ext_if proto tcp from any to { carp0, $ext_if } port 1723 keep state ( max-src-conn 2, max-src-conn-rate 15/5, overload bruteforce_pptp flush global ) Esta aberto tanto na fisica como no carp. O nmap mostra a porta como open no carp. E ai? 2009/5/28 André Luiz de Souza andreso...@gmail.com Ricardo Souza escreveu: Boa tarde pessoal, Tenho 2 FreeBSD 7.1 em carp e mpd5 rodando em ambs. Eu só consigo fechar VPN se eu conectar no IP físico de cada Server, quando eu tento me conectar no IP do carp não consigo. A porta 1723 esta aberta tanto para os IPS físicos e para o carp em ambos os servers. Você está abrindo a porta 1723 para o IP virtual na interface carpN? Se sim, muda a regra para liberar na interface física. Estou rodando o mpd5 em modo debug e não aparece NADA qd tento me conectar no IP carp. Alguem tem alguma idéia? Valeu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
Ricardo Souza escreveu: A regra está assim:Trinity# cat pf.conf |grep 1723 pass in quick on $ext_if proto tcp from any to { carp0, $ext_if } port 1723 keep state ( max-src-conn 2, max-src-conn-rate 15/5, overload bruteforce_pptp flush global ) Esta aberto tanto na fisica como no carp. O nmap mostra a porta como open no carp. E ai? No mpd.conf, deve ter uma linha com a configuração set pptp self... Lá tá apontando pro IP do carp? Cocê lembrou de liberar o protocolo GRE no PF ? Qual o risco da maquina que você está tentando conectar (cliente) ter entrado no overload da regra? Aqui eu uso o mpd5 com carp. Não tive maiores problemas com essa configuração. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] carp + mpd
Andre, no mpd5.conf estava set pptp self 0.0.0.0 e alterei para set pptp self 200.143.33.xyz Ajax# mpd5 Multi-link PPP daemon for FreeBSD process 11390 started, version 5.1 (r...@angel.cmtsp.com.br 15:56 22-Apr-2009) PPTP: waiting for connection on 200.143.33.xyz 1723 [Clients] Ajax# tcpdump -i bce0 -n 'dst port 1723' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bce0, link-type EN10MB (Ethernet), capture size 96 bytes 15:57:59.689520 IP 189.57.43.5.51230 200.143.33.xyz.1723: S 3843567234:3843567234(0) win 5840 mss 1460,sackOK,timestamp 86690957 0,nop,wscale 1 15:57:59.836257 IP 189.57.43.5.51230 200.143.33.xyz.1723: . ack 2077832531 win 5840 15:58:01.282865 IP 189.57.43.3.25976 200.143.33.xyz.1723: . 1694679719:1694679720(1) ack 4286945424 win 65535: pptp [|pptp] 15:58:02.826682 IP 189.57.43.5.51230 200.143.33.xyz.1723: . ack 1 win 5840 15:58:06.281238 IP 189.57.43.3.25976 200.143.33.xyz.1723: . 0:1(1) ack 1 win 65535: pptp [|pptp] 15:58:08.826991 IP 189.57.43.5.51230 200.143.33.xyz.1723: . ack 1 win 5840 15:58:09.669047 IP 189.57.43.5.51231 200.143.33.xyz.1723: S 3991738020:3991738020(0) win 5840 mss 1460,sackOK,timestamp 86691955 0,nop,wscale 1 15:58:11.280029 IP 189.57.43.3.25976 200.143.33.xyz.1723: . 0:1(1) ack 1 win 65535: pptp [|pptp] 15:58:11.419793 IP 189.57.43.5.51232 200.143.33.xyz.1723: S 4016604171:4016604171(0) win 5840 mss 1460,sackOK,timestamp 86692130 0,nop,wscale 1 IP 189.57.43.3 fiz telnet para o IP do carp ( 200.143.33.xyz) e do 189.57.43.5 tentei conectar pelo vpn client padrão do windows. Estranho né? 2009/5/28 André Luiz de Souza andreso...@gmail.com Ricardo Souza escreveu: A regra está assim:Trinity# cat pf.conf |grep 1723 pass in quick on $ext_if proto tcp from any to { carp0, $ext_if } port 1723 keep state ( max-src-conn 2, max-src-conn-rate 15/5, overload bruteforce_pptp flush global ) Esta aberto tanto na fisica como no carp. O nmap mostra a porta como open no carp. E ai? No mpd.conf, deve ter uma linha com a configuração set pptp self... Lá tá apontando pro IP do carp? Cocê lembrou de liberar o protocolo GRE no PF ? Qual o risco da maquina que você está tentando conectar (cliente) ter entrado no overload da regra? Aqui eu uso o mpd5 com carp. Não tive maiores problemas com essa configuração. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP em interface de rede com bitmask /30
Olá Alexandre, tudo bem? Pois é, mas não posso colocar esse patch em produção, ele mesmo diz: Anyways, here is something for *BETA* testing. Nobody put this in production (or you deserve whatever goes wrong). But if you have spare time and lab machines, please test and report back! Details welcome ;) E é o meu caso, sistema em produção, no spare time and lab machines. :-) O que eu fiz até agora foi solicitar à Tele uma bitmask /29 nesta rede de ligação, vamos ver se eles vão atender. Além disso, alterei a bitmask de rede da minha WAN para /29, fazendo uma gambiarra, já que a máscara configurada na porta LAN da Tele é /30. Não está funcionando bem. O que posso fazer nesse momento é aguardar o posicionamento da Tele. E aguardar sentado. :-) Abs, Felipe Neuwald. Alexandre Biancalana escreveu: On 10/30/07, Felipe Neuwald [EMAIL PROTECTED] wrote: Fala pessoal! Seguinte, estou precisando colocar o CARP para funcionar em uma rede rodando quagga (BGP4). Na interface LAN dos roteadores, estou configurando os endereços IPs assim: 189.x.x.1 (roteador master), 189.x.x.2 (roteador slave) e 189.x.x.3 (interface CARP). A rede LAN é uma rede com bitmask /29. O problema que estou tendo, é que as redes de ligação que tenho com as Teles, é com bitmask /30, e não tenho espaço para alocar os endereços IPs necessários para o funcionamento do CARP. Com o OpenBSD, eu resolvo o problema especificando carpdev na sintaxe do ifconfig. carpdev ainda não está implementado no FreeBSD 6.2-STABLE, e, pelo que vi, só estará funcionando no FreeBSD-7.0. E aí, como implementar CARP dessa forma? (ps: utilizando FreeBSD 6.2-STABLE) Alguém tem alguma sugestão? :-) Eh isso ai... tenho o mesmo problema em uns firewalls que implementei... o Free não tem (ainda) a opção carpdev no ifconfig, com isso a associação das interfaces fisicas e Carp é feita apenas pela netmask. Solicitei ao Max Laier (mantenedor do PF no Free) e ele fez alguns patches, que ele mesmo não recomendou testar e o último deles esse final de semana que é recomendado para testes (ainda não consegui testar). Dá uma olhada ai: http://www.nabble.com/carpdev-...-t4704557.html Se você conseguir testar, se increve na -pf e manda um report pra acelerar as coisas... ;-) Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP em interface de rede com bitmask /30
Cara, acho que nem no OpenBSD vc conseguiria. Pra o carp funcionar vc precisa de pelo menos 3 enderecos: - um pra uma máquina master; - outro pra máquina slave; - um terceiro que é o endereço virtual, pelo qual o cluster ira responder; Perceba que a menor máscara que comporta esses endereços é uma /29, que dá 6 endereços válidos. Como vc mesmo falou, vc possui uma /30, que só permite 2 endereços válidos. O carp do OpenBSD associa as bitmasks de cara placa e atribui ao dispositivo correto (carpdev), mas tudo é baseado no endereçamento. Mesmo se houver a possibilidade de vc setar na mão, com uma /30 só existem dois endereços válidos, então sempre vai ficar algum endereçamento de fora, já que são necessários no mínimo 3. []'s -- http://www.webcrunchers.com/crunch/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP em interface de rede com bitmask /30
c0re, É, no meu caso são necessários no mínimo 4 endereços. Um para fw master, outro para fw slave, outro para a interface CARP e mais um para o roteador da Tele (meu gateway). Penso que no OpenBSD funciona, pois eu posso associar um endereço inválido para as interfaces WAN (algo como 192.168.0.1 para WAN do fw master e 192.168.0.2 para WAN do fw slave), e configurar o endereço virtual como 189.x.x.x, associando-o à interface WAN com carpdev. Abs, Felipe Neuwald. c0re dumped escreveu: Cara, acho que nem no OpenBSD vc conseguiria. Pra o carp funcionar vc precisa de pelo menos 3 enderecos: - um pra uma máquina master; - outro pra máquina slave; - um terceiro que é o endereço virtual, pelo qual o cluster ira responder; Perceba que a menor máscara que comporta esses endereços é uma /29, que dá 6 endereços válidos. Como vc mesmo falou, vc possui uma /30, que só permite 2 endereços válidos. O carp do OpenBSD associa as bitmasks de cara placa e atribui ao dispositivo correto (carpdev), mas tudo é baseado no endereçamento. Mesmo se houver a possibilidade de vc setar na mão, com uma /30 só existem dois endereços válidos, então sempre vai ficar algum endereçamento de fora, já que são necessários no mínimo 3. []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP em interface de rede com bitmask /30
On 10/30/07, Felipe Neuwald [EMAIL PROTECTED] wrote: Fala pessoal! Seguinte, estou precisando colocar o CARP para funcionar em uma rede rodando quagga (BGP4). Na interface LAN dos roteadores, estou configurando os endereços IPs assim: 189.x.x.1 (roteador master), 189.x.x.2 (roteador slave) e 189.x.x.3 (interface CARP). A rede LAN é uma rede com bitmask /29. O problema que estou tendo, é que as redes de ligação que tenho com as Teles, é com bitmask /30, e não tenho espaço para alocar os endereços IPs necessários para o funcionamento do CARP. Com o OpenBSD, eu resolvo o problema especificando carpdev na sintaxe do ifconfig. carpdev ainda não está implementado no FreeBSD 6.2-STABLE, e, pelo que vi, só estará funcionando no FreeBSD-7.0. E aí, como implementar CARP dessa forma? (ps: utilizando FreeBSD 6.2-STABLE) Alguém tem alguma sugestão? :-) Eh isso ai... tenho o mesmo problema em uns firewalls que implementei... o Free não tem (ainda) a opção carpdev no ifconfig, com isso a associação das interfaces fisicas e Carp é feita apenas pela netmask. Solicitei ao Max Laier (mantenedor do PF no Free) e ele fez alguns patches, que ele mesmo não recomendou testar e o último deles esse final de semana que é recomendado para testes (ainda não consegui testar). Dá uma olhada ai: http://www.nabble.com/carpdev-...-t4704557.html Se você conseguir testar, se increve na -pf e manda um report pra acelerar as coisas... ;-) Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP em interface de rede com bitmask /30
Penso que no OpenBSD funciona, pois eu posso associar um endereço inválido para as interfaces WAN (algo como 192.168.0.1 para WAN do fw master e 192.168.0.2 para WAN do fw slave), e configurar o endereço virtual como 189.x.x.x, associando-o à interface WAN com carpdev. Pra ser sincero, nunca tentei desse modo mas não tem porque não funcionar. Segunda a manpage do ifconfig no OpenBSD: carpdev iface If the driver is a carp(4) pseudo-device, attach it to iface. If not specified, the kernel will attempt to se- lect an interface with a subnet matching that of the carp interface. Tenta aí e depois reporta os resultados :D []'s -- http://www.webcrunchers.com/crunch/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
Olá, Não gosto de ser chato, mas não estou conseguindo fazer isso, quando sigo aquele passo a passo e vou compilar o meukernel aparece a mensagem: MEUKERNEL: unknown option carp. Pessoal, sinceramente não tenho encontrado nada na net que seja mais claro. Se alguém puder ajuduar!!! Obrigado! Em 08/07/07, Bruno Torres Viana [EMAIL PROTECTED] escreveu: Valeu, vou dar uma olhada lá Em 08/07/07, Danilo Bedani [EMAIL PROTECTED] escreveu: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=3937# Utilizei este tuto... Em 06/07/07, Giancarlo Rubio [EMAIL PROTECTED] escreveu: Mais que o suficiente http://www.openbsd.org/faq/pf/pt/carp.html Em 05/07/07, Bruno Torres Viana [EMAIL PROTECTED] escreveu: Pessoal, Seguinte: Tenho duas máquinas para smtp, tenho que configurar o carp nelas mas nunca fiz isso. Achei algo na NET mas ainda não tive coragem de fazer. Alguém tem algum material ou indica algum site? O smtp2 deve assumir o ip principal sempre que o smtp1 para (Seja rede ou serviço). Obrigado! -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio Linux is for people who hate Windows, BSD is for people who love UNIX 100% Rwindow$-Free Freebsd-BR User #88 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Danilo Bedani FreeBSD UniX TeAm [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
vc esta colocando o device carp? Jean Carlos Zanuzo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
Ixi? Não! otions carp no arquivo MEUKERNEL! Nunca fiz isso, pode ser mais claro? Em 10/07/07, Jean [EMAIL PROTECTED] escreveu: vc esta colocando o device carp? Jean Carlos Zanuzo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
é device carp e nao options carp, muda ai q da certo Jean Zanuzo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
Tinha feito assim que falou do device mas agora deu outra msg! Kernel build directory is ../compile/MEUKERNEL Don't forget to do ``make cleandepend; make depend'' Em 10/07/07, Jean Zanuzo [EMAIL PROTECTED] escreveu: é device carp e nao options carp, muda ai q da certo Jean Zanuzo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
Jean, Acho que consegui estou vendo aqui! Obrigado! Em 10/07/07, Bruno Torres Viana [EMAIL PROTECTED] escreveu: Tinha feito assim que falou do device mas agora deu outra msg! Kernel build directory is ../compile/MEUKERNEL Don't forget to do ``make cleandepend; make depend'' Em 10/07/07, Jean Zanuzo [EMAIL PROTECTED] escreveu: é device carp e nao options carp, muda ai q da certo Jean Zanuzo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
- Original Message - From: Bruno Torres Viana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, July 10, 2007 2:48 PM Subject: Re: [FUG-BR] CARP Tinha feito assim que falou do device mas agora deu outra msg! Kernel build directory is ../compile/MEUKERNEL Don't forget to do ``make cleandepend; make depend'' então está certo, faça como ele pede, da um 1.. Mude o diretório de configuração. Isto e mostrado após rodar o comando acima mencionado. # cd ../compile/MEUKERNEL # make depend # make 2.. Instalando o novo kernel. # make install Em 10/07/07, Jean Zanuzo [EMAIL PROTECTED] escreveu: é device carp e nao options carp, muda ai q da certo Jean Zanuzo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
Tank´s Boy! Acho que meu deu uma crise igual de usuário... risos! Nem li a mensagem! Em 10/07/07, Jean Zanuzo [EMAIL PROTECTED] escreveu: - Original Message - From: Bruno Torres Viana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, July 10, 2007 2:48 PM Subject: Re: [FUG-BR] CARP Tinha feito assim que falou do device mas agora deu outra msg! Kernel build directory is ../compile/MEUKERNEL Don't forget to do ``make cleandepend; make depend'' então está certo, faça como ele pede, da um 1.. Mude o diretório de configuração. Isto e mostrado após rodar o comando acima mencionado. # cd ../compile/MEUKERNEL # make depend # make 2.. Instalando o novo kernel. # make install Em 10/07/07, Jean Zanuzo [EMAIL PROTECTED] escreveu: é device carp e nao options carp, muda ai q da certo Jean Zanuzo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=3937# Utilizei este tuto... Em 06/07/07, Giancarlo Rubio [EMAIL PROTECTED] escreveu: Mais que o suficiente http://www.openbsd.org/faq/pf/pt/carp.html Em 05/07/07, Bruno Torres Viana[EMAIL PROTECTED] escreveu: Pessoal, Seguinte: Tenho duas máquinas para smtp, tenho que configurar o carp nelas mas nunca fiz isso. Achei algo na NET mas ainda não tive coragem de fazer. Alguém tem algum material ou indica algum site? O smtp2 deve assumir o ip principal sempre que o smtp1 para (Seja rede ou serviço). Obrigado! -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio Linux is for people who hate Windows, BSD is for people who love UNIX 100% Rwindow$-Free Freebsd-BR User #88 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Danilo Bedani FreeBSD UniX TeAm [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
Valeu, vou dar uma olhada lá Em 08/07/07, Danilo Bedani [EMAIL PROTECTED] escreveu: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=3937# Utilizei este tuto... Em 06/07/07, Giancarlo Rubio [EMAIL PROTECTED] escreveu: Mais que o suficiente http://www.openbsd.org/faq/pf/pt/carp.html Em 05/07/07, Bruno Torres Viana[EMAIL PROTECTED] escreveu: Pessoal, Seguinte: Tenho duas máquinas para smtp, tenho que configurar o carp nelas mas nunca fiz isso. Achei algo na NET mas ainda não tive coragem de fazer. Alguém tem algum material ou indica algum site? O smtp2 deve assumir o ip principal sempre que o smtp1 para (Seja rede ou serviço). Obrigado! -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio Linux is for people who hate Windows, BSD is for people who love UNIX 100% Rwindow$-Free Freebsd-BR User #88 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Danilo Bedani FreeBSD UniX TeAm [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP
Mais que o suficiente http://www.openbsd.org/faq/pf/pt/carp.html Em 05/07/07, Bruno Torres Viana[EMAIL PROTECTED] escreveu: Pessoal, Seguinte: Tenho duas máquinas para smtp, tenho que configurar o carp nelas mas nunca fiz isso. Achei algo na NET mas ainda não tive coragem de fazer. Alguém tem algum material ou indica algum site? O smtp2 deve assumir o ip principal sempre que o smtp1 para (Seja rede ou serviço). Obrigado! -- --- Profº Bruno Torres Viana Cel: (73) 8123-7620 http://www.fatmsg.edu.br Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio Linux is for people who hate Windows, BSD is for people who love UNIX 100% Rwindow$-Free Freebsd-BR User #88 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP e sincronismo de dados/configs/progr amas/serviços
Vou add e conversamos, se sair algo de bom, a gente posta aqui para o pessoal :) Att, RS On 11/13/06, Daniel Bristot de Oliveira [EMAIL PROTECTED] wrote: Ai Rogério! Estais certo em cada palavra, eu ja fiz este esquema e o problema foi o mesmo... É que estamos fazendo uma *injambração*, que funciona, mas não é perfeita... A mudança de estado para os servidores Web, seria tranparente, o NFS funciona perfeitamente para a troca de estados. O DRDB no Linux cuida disto, mas não achei nenhuma solução melhor que esta ai com o Geom para o FreeBSD. Da uma olhada... é +- o que você falou, a partir do slide 26. http://midia.linuxchix.org.br/palestras/4ENLB/Bristot_FreeBSD_LoadBalance.pdf Bom, quem fará os scripts lancaçando e sincronização, podera utilizar um arquivo de chave por exemplo, contendo o ultimo estado do raid, assim, antes de fazer algo, este arquivo é checado. De forma a previnir acidentes... O real problema ai é o Mail, que exige uma preocupação mt maior que dados de arquivos de sites, ja que eles(arquivos do servidor web) normalmente estarão também em outro lugar, ja o mail... o negocio é mais embaixo... Se o mestre cair durante um envio de dados incremental, não da nada, Para servidores web, ja que o fsck volta o fs para um estado limpo, mas par ao mail, ja é um problema maior, pode haver perda de mensagem. o Grande problema é o ex slave, cair durante a sincronização com o ex-mestre, que fica com o fs sujo, não monta, ai quando os dois estão ativos, o disco sujo é espelhado, ai pode compra o caxão Bom, ele faz o serviço bem feito, ma tem mt problema tb :( meu gtalk é danielbristot em gmail.com, meu msn é danielbristot em hotmail.com se quiser trocar umas ideias, estou ai, me interessei pelo caso :-) Um abraço! -- Daniel Bristot de Oliveira R João Paez 409 Ap 202 Sta Augusta - Criciúma - SC CEP 88805440 Brazil +55-48-91032512 - -- Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt http://stockrt.unicruz.edu.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP e sincronismo de dados/configs/progr amas/serviços
Olá Rogério! Bom o CARP faz a parte dele... Tem como sincronizar discos utilizando duas classes do GEOM A classe Gate, que exportará um disco do escravo para o mestre. Ai o mestre importa e cria um mirror entre os dois discos, Quando o mirror for criado, eles irão ser sincronizados, e todo o conteúdo passará pela rede, como o rsync, a vatagem é que a sincronização é on-fly, e as alterações são feitas somente com arquivos alterados, ai o custo de rede se torna menor durante a execução. Configure o mirror para executar operações de leituar do disco local. Bom isto funciona para sincronizar discos, porém o disco exportado não pode estar montado no escravo, o que impediria de sincronizar os dados do /usr/local pro exemplo. Bom, a thread que você cita é legal da bastante noção. Estou disposto a ajudar, e me interesei sobre o assunto, mas se eu tivesse melhor informação sobre o ambiênte. ajudaria :-) Grande Abraço! -- Daniel Bristot de Oliveira R João Paez 409 Ap 202 Sta Augusta - Criciúma - SC CEP 88805440 Brazil +55-48-91032512 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP e sincronismo de dados/configs/progr amas/serviços
Boa Daniel. A idéia é a seguinte: O firewall faz o balanceamento de carga entre 2 servers Web e entre mais 2 servers de Mail (são dois grupos distintos), mas para que estes tenham acesso aos mesmos dados, eles precisam acessar um storage na rede, que centralizaria os dados. Até ai tudo bem. Contudo, para que o storage não seja um ponto simples de falha, seria interessante utilizar nele também um sistema de máquina de backup com CARP, sendo que teríamos duas máquinas rodando, quem sabe, NFS, e servindo via um IP virtual. Para o sincronismo dos dados entre o master e slave do NFS seria ideal utilizar mirror via ggatec/ggated, como você sugeriu: No slave o HD exportado não pode ser montado enquanto ele for slave, mas sim, ele teria de ser montado para servir os dados para a rede quando ele se tornasse master. Isso, eu acredito, possa ser feito com ifstated na iface do carp. (os mounts e umounts todos, além das configs do geom para não exportar mais o HD e sim tentar importar o disco do ex-master, quando ele se tornasse um slave...). O HD que era exportado pelo slave agora vira a cópia quente dos dados, compartilhado na rede com NFS, e dele é feito um mirror remoto, sobre o ex-master, quando ficar ativo. Aqui eu acho que entra um problema: Quando o ex-master se tornar slave, o seu disco de dados, que era o quente da rede vai ser sobrescrito com os dados do ex-slave, agora master. Será que isso não pode ser perigoso? E se o atual master, quando era slave, não teve seus dados totalmente atualizados? O trabalho dos usuários (mails, homedir) seria perdido, Meu medo é este, que o mirror pela rede não esteja completo no momento de uma falha. Tem como verificar se um mirror via rede foi bem sucedido? Ou algo melhor do que RAID1 via rede, algum outro tipo de RAID, mais indicado...? Enfim, que somente se ativasse a cópia RAID1 feito via geom se ela fosse uma cópia completa e atualizada dos dados. Tem como garantir isso? Att, RS On 11/13/06, Daniel Bristot de Oliveira [EMAIL PROTECTED] wrote: Olá Rogério! Bom o CARP faz a parte dele... Tem como sincronizar discos utilizando duas classes do GEOM A classe Gate, que exportará um disco do escravo para o mestre. Ai o mestre importa e cria um mirror entre os dois discos, Quando o mirror for criado, eles irão ser sincronizados, e todo o conteúdo passará pela rede, como o rsync, a vatagem é que a sincronização é on-fly, e as alterações são feitas somente com arquivos alterados, ai o custo de rede se torna menor durante a execução. Configure o mirror para executar operações de leituar do disco local. Bom isto funciona para sincronizar discos, porém o disco exportado não pode estar montado no escravo, o que impediria de sincronizar os dados do /usr/local pro exemplo. Bom, a thread que você cita é legal da bastante noção. Estou disposto a ajudar, e me interesei sobre o assunto, mas se eu tivesse melhor informação sobre o ambiênte. ajudaria :-) Grande Abraço! -- Daniel Bristot de Oliveira R João Paez 409 Ap 202 Sta Augusta - Criciúma - SC CEP 88805440 Brazil +55-48-91032512 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP e sincronismo de dados/configs/progr amas/serviços
Ai Rogério! Estais certo em cada palavra, eu ja fiz este esquema e o problema foi o mesmo... É que estamos fazendo uma *injambração*, que funciona, mas não é perfeita... A mudança de estado para os servidores Web, seria tranparente, o NFS funciona perfeitamente para a troca de estados. O DRDB no Linux cuida disto, mas não achei nenhuma solução melhor que esta ai com o Geom para o FreeBSD. Da uma olhada... é +- o que você falou, a partir do slide 26. http://midia.linuxchix.org.br/palestras/4ENLB/Bristot_FreeBSD_LoadBalance.pdf Bom, quem fará os scripts lancaçando e sincronização, podera utilizar um arquivo de chave por exemplo, contendo o ultimo estado do raid, assim, antes de fazer algo, este arquivo é checado. De forma a previnir acidentes... O real problema ai é o Mail, que exige uma preocupação mt maior que dados de arquivos de sites, ja que eles(arquivos do servidor web) normalmente estarão também em outro lugar, ja o mail... o negocio é mais embaixo... Se o mestre cair durante um envio de dados incremental, não da nada, Para servidores web, ja que o fsck volta o fs para um estado limpo, mas par ao mail, ja é um problema maior, pode haver perda de mensagem. o Grande problema é o ex slave, cair durante a sincronização com o ex-mestre, que fica com o fs sujo, não monta, ai quando os dois estão ativos, o disco sujo é espelhado, ai pode compra o caxão Bom, ele faz o serviço bem feito, ma tem mt problema tb :( meu gtalk é danielbristot em gmail.com, meu msn é danielbristot em hotmail.com se quiser trocar umas ideias, estou ai, me interessei pelo caso :-) Um abraço! -- Daniel Bristot de Oliveira R João Paez 409 Ap 202 Sta Augusta - Criciúma - SC CEP 88805440 Brazil +55-48-91032512 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP e sincronismo de dados/configs/progr amas/serviços
2006/11/11, Rogério Schneider [EMAIL PROTECTED]: Pessoal, alguém aqui usa CARP? Pretendo hehe! Neste caso, como poderia ser feita a sincronia de dados/configuração/programas/serviços entre as máquinas? Eu gostaria de saber se alguém usa, e como se resolveria o problema de instalar um software novo no master e que o slave/slaves fosse também atualizado, sem precisar repetir os passos no slave. Com alguma forma de sync, mirror? Acredito que o GEOM (GATE+MIRROR) faria essa parte, agora como daí vc pergunta pro Daniel Bristot ele é o cara do GEOM hehe. Ele fala sobre o Geom no Fug http://www.fug.com.br/content/view/119/60/ []´z -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP e sincronismo de dados/configs/progr amas/serviços
Olha só, eu achei algo interesssante aqui: http://www.mail-archive.com/freebsd-cluster@freebsd.org/msg00077.html Mas parece que o GEOM não resolve não Att, RS On 11/11/06, Thiago J. Ruiz [EMAIL PROTECTED] wrote: 2006/11/11, Rogério Schneider [EMAIL PROTECTED]: Pessoal, alguém aqui usa CARP? Pretendo hehe! Neste caso, como poderia ser feita a sincronia de dados/configuração/programas/serviços entre as máquinas? Eu gostaria de saber se alguém usa, e como se resolveria o problema de instalar um software novo no master e que o slave/slaves fosse também atualizado, sem precisar repetir os passos no slave. Com alguma forma de sync, mirror? Acredito que o GEOM (GATE+MIRROR) faria essa parte, agora como daí vc pergunta pro Daniel Bristot ele é o cara do GEOM hehe. Ele fala sobre o Geom no Fug http://www.fug.com.br/content/view/119/60/ []´z -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP + GEOM Gate + Jail
Bom dia Tiago Eu sou o Daniel do artigo. Você está querendo fazer a mesma coisa que eu. Bom eu estou terminando, espero publicar hoje um artigo sobre o CARP, Pfsync e Ifstated, que será uma atualização do HA. Bom, eu já fiz RAID1 via rede, e sei que funciona perfeito, apenas um problema com velocidade, que realmente fica baixa por que o ggate utiliza pacotes TCP. Bom com o VRRP, existe uma opção de executar um script quando o host cai, e quando o host sobre. O CARP não traz isso nativamente, então, surge o ifstated, /usr/ports/net/ifstated, ele fica monitorando as interfaces, e com um arquivo de configuração programavel, é possível fazer quase tudo, executar scripts, comandos, testar interfaces Eu enviei uma proposta de palestra para o encontro da LinuxChix que irá falar sobre, redundância de servidores Web, com CARP, pfsync, ifstated, Pen, Lighttpd, e com servidores de disco redundântes, com CARP, ifstated, ggate e gmirror. Pretendo enviar um artigo sobre como isto funciona, semana que vem para o FUG. Acho que seus problemas ficarão mais fáceis, qualquer coisa me contate via gtalk, meu gtalk é [EMAIL PROTECTED] -- Daniel Bristot de Oliveira http://dbristot.info R João Paez 409 Ap 202 Sta Augusta - Criciúma - SC CEP 88805440 Brazil +55-48-91032512 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CARP no FreeBSD
http://www.pfsense.com/mirror.php?section=tutorials/carp/carp-cluster-new.htmda uma olhadinha nisso aqui pode ser que clareie as suas ideias ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP no FreeBSD
vc precisa de 1 ip na carp0 e 1 ip na carp1 o resto verifique no pfsync pra ver se ele ta syncronizando as regras de firewall no 2 micros . Em 12/01/06, Tiago Cruz[EMAIL PROTECTED] escreveu: On Thu, 2006-01-12 at 11:28 -0300, William Armstrong wrote: http://www.pfsense.com/mirror.php?section=tutorials/carp/carp-cluster-new.htmda uma olhadinha nisso aqui pode ser que clareie as suas ideias Valeu William, Depois de ler o FAQ do OpenBSD, o manual do carp, o manual do pfsync, diversos artigos em portugês, inlgês e italiano, misturar tudo consegui fazer a bagaça funcionar em partes :-) Uma documentação muito boa é essa aqui: http://www.samag.com/documents/s=9658/sam0505e/ Bom, agora meu CARP faz redundância na LAN (192.168.0.1), mas o download é interrompido e não continua quando o backup assume. Estou usando 02 IPs diferentes na WAN, um em cada server, será esse o problema? Duvida crucial: Para fazer o CARP 192.168.0.1 funcionar, eu usei um 192.168.0.254 e 192.168.0.253. Então para fazer o CARP 200.200.200.1 funcionar ou precisarei de mais 02 IPs reais??? Obrigado! -- Tiago Cruz http://linuxrapido.org Linux User #282636 The box said: Requires MS Windows or better, so I installed Linux ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- -=-=-=-=-=-=-=-=-=- William David Armstrong Bio Systems Security. ICQ 10253747 MSN biosystems ]at[ gmail . com -- . Of course it runs | ' NetBSD, OpenBSD or FreeBSD -- ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP no FreeBSD
Valeu William! Grato pela sua resposta... On Thu, 2006-01-12 at 15:12 -0300, William Armstrong wrote: vc precisa de 1 ip na carp0 e 1 ip na carp1 o resto verifique no pfsync pra ver se ele ta syncronizando as regras de firewall no 2 micros . Sim, meu carp0 (192.168.0.1) está legal, ele é a junção de dois IPs: 192.168.0.254 e 192.168.0.253 Agora, para que eu monte o carp1, eu preciso de 03 IPs IPV4 públicos e roteáveis, válidos em qualquer lugar do mundo??? :) Porque eu só tenho dois... Obrigado! -- Tiago Cruz http://linuxrapido.org Linux User #282636 The box said: Requires MS Windows or better, so I installed Linux ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] carp ou ...
Temos o famoso vrrpd tá em /usr/ports/net freevrrpd-0.9.3 This a VRRP RFC2338 Compliant implementation under FreeBSD Maintained by: [EMAIL PROTECTED] PS.: o carp é baseado nesse conceito Em 27/09/05, Eugenio Oliveira[EMAIL PROTECTED] escreveu: Bom dia pessoal, Alguem sabe se o CARP funciona no FreeBSD 4.9 ou se tem algum outro que faça o cluster de IP? Preciso de um que faça cluster ATIVO, ATIVO... Tks -- No virus found in this outgoing message. Checked by AVG Anti-Virus. Version: 7.0.344 / Virus Database: 267.11.7/112 - Release Date: 26/9/2005 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP - (longo)
Sergio, Ve se isso nao e o seu caso! At this point only passive mode FTP connections will function. To enable active mode connections, the ftp-data connection that the FTP server initiates must be passed in on the firewall. Unfortunately, the port that this connection comes in on can't be known beforehand, only the range that it falls within. What is known, however, is that the connection will be initiated from port 20 (ftp-data port) and that ftp-proxy will be accepting the connection (and then relaying data to the client). Since ftp-proxy runs as the user proxy, the user keyword can be used in the filter rule. pass in on $ext_if inet proto tcp from port 20 to ($ext_if) \ user proxy flags S/SA keep state http://www.openbsd.org/faq/pf/ftp.html Aqui funciona perfeitamente!! 3) NOVAMENTE : NÃO CONSIGO FAZER O FTP FUNCIONAR CORRETAMENTE DO PF. O ftp-proxy tá instalado e rodando via inetd : ftp-proxy stream tcp nowait root/usr/libexec/ftp-proxy ftp-proxy tcp4 0 0 *.8021 *.* LISTEN no pf : rdr on $int_if proto tcp from any to ! me port ftp - 127.0.0.1 port 8021 Ftp via squid tá ok, mas quando tem que sair direto do cliente fazendo nat não funciona de jeito nenhum.tinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP - Era: TESTEMUNHO do BSDDAY
??? foi um comentario, uma explicacao ou uma critica? Luiz Otávio Souza wrote: loles... shut up and hack... aprendi no bsdday :-D ei hacker, me explica ai... Tenho o balanceamento: fw1# ifconfig fxp0 192.168.0.1/24 # rede interna fw1# ifconfig xl0 200.200.200.200/24 # inet fw1# ifconfig xl1 192.168.1.1 # pfsync fw1# ifconfig pfsync up syncdev xl1 fw1# router add default 200.200.200.201 # router fw1# ifconfig carp0 create fw1# ifconfig carp1 create fw1# ifconfig carp2 create fw1# ifconfig carp3 create fw1# ifconfig carp0 192.168.0.5 255.255.255.0 vhid 1 pass 1 fw1# ifconfig carp1 192.168.0.5 255.255.255.0 vhid 2 advskew 100 pass 2 fw1# ifconfig carp2 200.200.200.205 255.255.255.0 vhid 3 pass 3 fw1# ifconfig carp3 200.200.200.205 255.255.255.0 vhid 4 advskew 100 pass 3 fw1# sysctl net.inet.carp.arpbalance=1 fw1# sysctl net.inet.carp.preempt=1 fw1# pfctl -f /etc/pf.conf # natd fw2# ifconfig fxp0 192.168.0.2/24 # rede interna fw2# ifconfig xl0 200.200.200.202/24 # inet fw2# ifconfig xl1 192.168.1.2 # pfsync fw2# ifconfig pfsync up syncdev xl1 fw2# router add default 200.200.200.201 # router fw2# ifconfig carp0 create fw2# ifconfig carp1 create fw2# ifconfig carp2 create fw2# ifconfig carp3 create fw2# ifconfig carp0 192.168.0.5 255.255.255.0 vhid 1 advskew 100 pass 1 fw2# ifconfig carp1 192.168.0.5 255.255.255.0 vhid 2 pass 2 fw2# ifconfig carp2 200.200.200.205 255.255.255.0 vhid 3 advskew 100 pass 3 fw2# ifconfig carp3 200.200.200.205 255.255.255.0 vhid 4 pass 3 fw2# sysctl net.inet.carp.arpbalance=1 fw2# sysctl net.inet.carp.preempt=1 fw2# pfctl -f /etc/pf.conf # natd Agora minha maquina A na rede interna abre uma conexao http para um site na inet. O pacote será enviado para o default gateway, que sera meu IP redundante 192.168.0.5. Antes do primeiro pacote de dado ser transferido a camada ethernet dispara uma requisição ARP para saber qual é o endereço da placa (MAC ADDRESS) que esta com esse IP na rede. É aqui que caso existam duas interfaces CARP no sistema com o mesmo IP (carp0 e carp1) entra o _suposto_ algoritmo buguento que falaram, que deve ignorar o pedido baseado num mal implementado hash do endereço de origem: /* Count the elegible carp interfaces with this address */ if (*count == 0) *count = carp_addrcount( (struct carp_if *)ia-ia_ifp-if_carpdev-if_carp, ia, CARP_COUNT_RUNNING); /* This should never happen, but... */ if (*count == 0) return (0); /* this should be a hash, like pf_hash() */ if (ia-ia_addr.sin_addr.s_addr % *count == index - 1 sc-sc_state == MASTER) { return (1); Aqui o hash devia retornar 1 para ignorar o ARP request e nao responder. Esse hash utiliza o modolo do endereco de origem (ia-ia_addr.sin_addr.s_addr) contra o número de interfaces aptas a fazer o loadbalance (detentoras do IP e estado == MASTER). Bom supostamente esse codigo funciona e só um dos meus firewalls responde a essa chamada ARP e a conexão da A pode seguir tranquilamente. Com a conexão da maquina A em andamento a mquina B tenta estabelecer uma conexão com outro site na inet (na verdade não importa, mas...) e as requisiçoes ARP serão novamente enviadas. Dessa vez meu fw2 responde, só que a interface apta a responder isso no firewall 2 é a carp1 e não a carp0 que atendeu a maquina A no fw1. Nesse caso o fw2 devolvera um pacote ARP contendo um MAC ADDRESS diferente do fw1. Isso acontece pq cada interface CARP tem seu proprio MAC ADDRESS. Até tudo normal, mas vamos ver o que acontence com os pacotes saindo dos firewalls e indo até o (unico) roteador. O fw1 e o fw2 utilizão o IP redundate 200.200.200.205 para saida do gateway (nat da rede interna). Assim o roteador ao fazer a primeira resposta a primeira requisição do fw1 para a maquina A pergunta na camada ARP quem tem o mac address para a o IP 200.200.200.205 e o firewall que utilizando o algoritmo acima descrito responder a essa requição, receberá os pacotes do roteador. Nesse caso dado o suposto _hash_ da função o escolhido fosse o fw2. Quando o fw2 fosse transmitir os pacotes da conexão da maquina B o router não precisaria saber para quem devolver os pacotes, uma vez que sua tabela arp estava atualizada. Então nos temos duas estações mandando dados atraves de dois firewalls distintos, mas apenas um firewall recendo os dados das duas conexões. Tudo parece funcionar, pois os estados do pfsync mantem os firewalls _atualizados_ e estes não percebem a diferença das conexões que foram ou não estabelecidas ali. E o load balance não funciona neste ambiente. Poxa o OpenBSD tem um BUG !!! Corre e manda ele pra misc@openbsd.org RTFM !!! From carp(4) -
Re: [FUG-BR] CARP - era TESTEMUNHO do BSDDAY
Olá, Tenho somente um problema, que o download ou a conexão para durante 1 ou 2 segundos, mais somente tambem nao consegui resolver isso. -- Atenciosamente, Rafael Floriano Sousa Sales ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP - era TESTEMUNHO do BSDDAY
Cara, que eu saiba, utiliza-se um software à parte no caso de usar pf, que é o pfsync para manter as tabelas de estado entre o master e os slaves... porque vc não experimenta utilizar o pf com o pfsync no seu gateway? On 8/15/05, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: Tô com o CARP rodando aqui na Mitsubishi, para redundância dos gateways, mas tô tendo problemas quanto a permanência das conexões, ou seja, quando retiro o master do ar, todas as conexões caem. O secundário entra imediatamente mas as conexões precisam ser refeitas. Isso sem contar que tive de fazer algum marabalismo para que o NATD continuasse funcionando, visto que não dá para fazer nat diretamente numa interface CARP. Não usei o PF para NAT porque tem muito problema com FTP. Alguém tá usando o CARP com sucesso e mantendo o estado das conexões ? Sérgio José Ferreira WGO Telecom uhun... Mas valeu mesmo assim. Gostei de saber que dá para fazer... A ideia eh otima. Eh, realmente vc perdeu. =/ Ricardo. Pablo Sánchez wrote: hehehe... vc pode fazer o balanceamento em outros pontos. A especificação do CARP não é para balanceamento, e sim redundância. Não é bug, é que realmente não está especificado. Queria ter ido... chuif! :-( On 8/15/05, Ricardo Maia [EMAIL PROTECTED] wrote: Pois eh, mas mesmo q funcione 539576856%, na palestra foi dito q o balanceamento nao funciona naquilo que se referia a palestra (ARP). A ideia eh sensacional, os palestrantes manjam muito (embora deteste girias dentro de palestras, eh uma opiniao pessoal minha) e em algum tempo esse bug vai ser corrigido. Como os caras mesmo disseram detestamos admitir, mas existe um bug Ricardo. Christopher Giese - iRapida Telecom wrote: Sobre o FATOR NAO FUNCIONA Gostaria de deixar bem claro que 1 - o FATOR REDUNDANCIA do CARP funciona 200% 2 - o NAO FUNCIONA se refere ao BALANCEAMENTO DE ARP... ou seja. nao a redundancia... e sim ao BALANCEAMENTO (que para a redundancia nao tem necessidade NENHUMA ) 3 - isto esta com problemas graves no OPENBSD... no FreeBSD foi mexido os pauzinhos... e no Open deve logo tb ser mexido MAS BEM CLARO QUE A REDUNDANCIA (que eh o que importa de verdade na grande maioria dos casos) FUNCIONA SIM... e eu utilizo com 100% de satisfação !!! t+ Christopher Giese SkyWarrior Ricardo Maia wrote: Alguem disse q a palestra do CARP foi fraquinha... pois eh... Fiquei meio decepcionado mesmo, nao com os palestrantes, mas com a tecnologia. Meus olhos brilhavam ateh o instante em que foi anunciado nao funciona. Particularmente gostei mais da palestra do Carlos Paniago por duas razoes: 1. Ele manja; 2. Usou uma linguagem que me agradou muito. Como sou do meio academico, fico revoltado com girias no meio das palestras, ou tiques do tipo neh, tipo.., etc. Como sai do encontro lah pelas 14 hs, axo que perdi alguma coisa, mas pude conhecer o Joao Rocha - pessoa que eu considero muito - e o Patrick. No mais, axei interessante. Ricardo. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP - era TESTEMUNHO do BSDDAY
From: [EMAIL PROTECTED] Já estou usando o pfsync, mas o PF não está sendo usado devido aos problemas com FTP...Alguém tem uma solução que funcione com qualquer tipo de FTP ? Sérgio José Ferreira WGO Telecom O pfsync só funciona para o pf, não eh possivel manter os estados do natd pelo pfsync. Os problemas de ftp com o pf podem ser resolvidos com o ftp-proxy(8). luiz ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP - era TESTEMUNHO do BSDDAY
testem o pfSense www.pfsense.org eu comentei sobre ele no BSDDay. muito boa ferramenta. -- -=-=-=-=-=-=-=-=-=- William David Armstrong Bio Systems Security. ICQ 10253747 MSN [EMAIL PROTECTED] -- Ninguém nasce sabendo de tudo. Mas tudo pode ser Aprendido; E principalmente porque tudo pode ser Ensinado By Bio. -- ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP - era TESTEMUNHO do BSDDAY
ok, joia.. quanto ao ftp-proxy, ele resolve quase tudo...mas existem uns sites do governo estadual e federal que não funciona nem a pau com o ftp-proxy. Por isso, se alguém estiver usando um outro ftp-proxy, ajuda ai. grato, Sérgio. From: [EMAIL PROTECTED] Já estou usando o pfsync, mas o PF não está sendo usado devido aos problemas com FTP...Alguém tem uma solução que funcione com qualquer tipo de FTP ? Sérgio José Ferreira WGO Telecom O pfsync só funciona para o pf, não eh possivel manter os estados do natd pelo pfsync. Os problemas de ftp com o pf podem ser resolvidos com o ftp-proxy(8). luiz ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP - Era: TESTEMUNHO do BSDDAY
loles... shut up and hack... aprendi no bsdday :-D Luiz Otávio Souza wrote: From: Ricardo Maia [EMAIL PROTECTED] piff... Pelo amor de Deus, nao vou mais responder voces... Aonde eu disse que deixa vc na mao, nao presta, etc?? Eu estou dizendo que a bendita palestra mostrou um cenario onde o CARP ***ainda*** nao cobre totalmente. Voces precisam aprender a interpretar melhor o que eh dito. flames /dev/cooler :) Po, deixa a gente brincar de Theo de Raddt um pouco (ainda estamos na euforia do BSDDAY) ! :) Ai é que esta, o CARP não cobre e não vai cobrir certos cenarios. Redundancia com ARP não é para todos. Desculpe quanto a qquer miss understanding, ok ? luiz PS: # flames /dev/cooler /dev/cooler: Operation not supported ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP - era TESTEMUNHO do BSDDAY
Realmente.. Ainda nao resolve tudo mesmo!! Tbem tenho alguns problemas com ele.. ok, joia.. quanto ao ftp-proxy, ele resolve quase tudo...mas existem uns sites do governo estadual e federal que não funciona nem a pau com o ftp-proxy. Por isso, se alguém estiver usando um outro ftp-proxy, ajuda ai. grato, Sérgio. From: [EMAIL PROTECTED] Já estou usando o pfsync, mas o PF não está sendo usado devido aos problemas com FTP...Alguém tem uma solução que funcione com qualquer tipo de FTP ? Sérgio José Ferreira WGO Telecom O pfsync só funciona para o pf, não eh possivel manter os estados do natd pelo pfsync. Os problemas de ftp com o pf podem ser resolvidos com o ftp-proxy(8). luiz ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- Juliano S. Nascimento SysAdmin - Unix/Linux ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP - Era: TESTEMUNHO do BSDDAY
loles... shut up and hack... aprendi no bsdday :-D ei hacker, me explica ai... Tenho o balanceamento: fw1# ifconfig fxp0 192.168.0.1/24 # rede interna fw1# ifconfig xl0 200.200.200.200/24 # inet fw1# ifconfig xl1 192.168.1.1 # pfsync fw1# ifconfig pfsync up syncdev xl1 fw1# router add default 200.200.200.201 # router fw1# ifconfig carp0 create fw1# ifconfig carp1 create fw1# ifconfig carp2 create fw1# ifconfig carp3 create fw1# ifconfig carp0 192.168.0.5 255.255.255.0 vhid 1 pass 1 fw1# ifconfig carp1 192.168.0.5 255.255.255.0 vhid 2 advskew 100 pass 2 fw1# ifconfig carp2 200.200.200.205 255.255.255.0 vhid 3 pass 3 fw1# ifconfig carp3 200.200.200.205 255.255.255.0 vhid 4 advskew 100 pass 3 fw1# sysctl net.inet.carp.arpbalance=1 fw1# sysctl net.inet.carp.preempt=1 fw1# pfctl -f /etc/pf.conf # natd fw2# ifconfig fxp0 192.168.0.2/24 # rede interna fw2# ifconfig xl0 200.200.200.202/24 # inet fw2# ifconfig xl1 192.168.1.2 # pfsync fw2# ifconfig pfsync up syncdev xl1 fw2# router add default 200.200.200.201 # router fw2# ifconfig carp0 create fw2# ifconfig carp1 create fw2# ifconfig carp2 create fw2# ifconfig carp3 create fw2# ifconfig carp0 192.168.0.5 255.255.255.0 vhid 1 advskew 100 pass 1 fw2# ifconfig carp1 192.168.0.5 255.255.255.0 vhid 2 pass 2 fw2# ifconfig carp2 200.200.200.205 255.255.255.0 vhid 3 advskew 100 pass 3 fw2# ifconfig carp3 200.200.200.205 255.255.255.0 vhid 4 pass 3 fw2# sysctl net.inet.carp.arpbalance=1 fw2# sysctl net.inet.carp.preempt=1 fw2# pfctl -f /etc/pf.conf # natd Agora minha maquina A na rede interna abre uma conexao http para um site na inet. O pacote será enviado para o default gateway, que sera meu IP redundante 192.168.0.5. Antes do primeiro pacote de dado ser transferido a camada ethernet dispara uma requisição ARP para saber qual é o endereço da placa (MAC ADDRESS) que esta com esse IP na rede. É aqui que caso existam duas interfaces CARP no sistema com o mesmo IP (carp0 e carp1) entra o _suposto_ algoritmo buguento que falaram, que deve ignorar o pedido baseado num mal implementado hash do endereço de origem: /* Count the elegible carp interfaces with this address */ if (*count == 0) *count = carp_addrcount( (struct carp_if *)ia-ia_ifp-if_carpdev-if_carp, ia, CARP_COUNT_RUNNING); /* This should never happen, but... */ if (*count == 0) return (0); /* this should be a hash, like pf_hash() */ if (ia-ia_addr.sin_addr.s_addr % *count == index - 1 sc-sc_state == MASTER) { return (1); Aqui o hash devia retornar 1 para ignorar o ARP request e nao responder. Esse hash utiliza o modolo do endereco de origem (ia-ia_addr.sin_addr.s_addr) contra o número de interfaces aptas a fazer o loadbalance (detentoras do IP e estado == MASTER). Bom supostamente esse codigo funciona e só um dos meus firewalls responde a essa chamada ARP e a conexão da A pode seguir tranquilamente. Com a conexão da maquina A em andamento a mquina B tenta estabelecer uma conexão com outro site na inet (na verdade não importa, mas...) e as requisiçoes ARP serão novamente enviadas. Dessa vez meu fw2 responde, só que a interface apta a responder isso no firewall 2 é a carp1 e não a carp0 que atendeu a maquina A no fw1. Nesse caso o fw2 devolvera um pacote ARP contendo um MAC ADDRESS diferente do fw1. Isso acontece pq cada interface CARP tem seu proprio MAC ADDRESS. Até tudo normal, mas vamos ver o que acontence com os pacotes saindo dos firewalls e indo até o (unico) roteador. O fw1 e o fw2 utilizão o IP redundate 200.200.200.205 para saida do gateway (nat da rede interna). Assim o roteador ao fazer a primeira resposta a primeira requisição do fw1 para a maquina A pergunta na camada ARP quem tem o mac address para a o IP 200.200.200.205 e o firewall que utilizando o algoritmo acima descrito responder a essa requição, receberá os pacotes do roteador. Nesse caso dado o suposto _hash_ da função o escolhido fosse o fw2. Quando o fw2 fosse transmitir os pacotes da conexão da maquina B o router não precisaria saber para quem devolver os pacotes, uma vez que sua tabela arp estava atualizada. Então nos temos duas estações mandando dados atraves de dois firewalls distintos, mas apenas um firewall recendo os dados das duas conexões. Tudo parece funcionar, pois os estados do pfsync mantem os firewalls _atualizados_ e estes não percebem a diferença das conexões que foram ou não estabelecidas ali. E o load balance não funciona neste ambiente. Poxa o OpenBSD tem um BUG !!! Corre e manda ele pra misc@openbsd.org RTFM !!! From carp(4) - http://www.openbsd.org/cgi-bin/man.cgi?query=carpapropos=0sektion=0manpath=OpenBSD+Currentarch=i386format=html When the hosts receive an ARP request for 192.168.1.10, the source IP ad-
Re: [FUG-BR] CARP - era TESTEMUNHO do BSDDAY
SALVE sobre o CARP + conexoes IDEAL = carp + pfsync ipfw ainda nao foi feito para sincronizar isso e o natd realmente perde as conexoes eu utilizo carp + pf + pfxync + ftp-proxy = solucao FUNCIONAL 100% qq coisa pvt t+ Christopher Giese [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: Tô com o CARP rodando aqui na Mitsubishi, para redundância dos gateways, mas tô tendo problemas quanto a permanência das conexões, ou seja, quando retiro o master do ar, todas as conexões caem. O secundário entra imediatamente mas as conexões precisam ser refeitas. Isso sem contar que tive de fazer algum marabalismo para que o NATD continuasse funcionando, visto que não dá para fazer nat diretamente numa interface CARP. Não usei o PF para NAT porque tem muito problema com FTP. Alguém tá usando o CARP com sucesso e mantendo o estado das conexões ? Sérgio José Ferreira WGO Telecom uhun... Mas valeu mesmo assim. Gostei de saber que dá para fazer... A ideia eh otima. Eh, realmente vc perdeu. =/ Ricardo. Pablo Sánchez wrote: hehehe... vc pode fazer o balanceamento em outros pontos. A especificação do CARP não é para balanceamento, e sim redundância. Não é bug, é que realmente não está especificado. Queria ter ido... chuif! :-( On 8/15/05, Ricardo Maia [EMAIL PROTECTED] wrote: Pois eh, mas mesmo q funcione 539576856%, na palestra foi dito q o balanceamento nao funciona naquilo que se referia a palestra (ARP). A ideia eh sensacional, os palestrantes manjam muito (embora deteste girias dentro de palestras, eh uma opiniao pessoal minha) e em algum tempo esse bug vai ser corrigido. Como os caras mesmo disseram detestamos admitir, mas existe um bug Ricardo. Christopher Giese - iRapida Telecom wrote: Sobre o FATOR NAO FUNCIONA Gostaria de deixar bem claro que 1 - o FATOR REDUNDANCIA do CARP funciona 200% 2 - o NAO FUNCIONA se refere ao BALANCEAMENTO DE ARP... ou seja. nao a redundancia... e sim ao BALANCEAMENTO (que para a redundancia nao tem necessidade NENHUMA ) 3 - isto esta com problemas graves no OPENBSD... no FreeBSD foi mexido os pauzinhos... e no Open deve logo tb ser mexido MAS BEM CLARO QUE A REDUNDANCIA (que eh o que importa de verdade na grande maioria dos casos) FUNCIONA SIM... e eu utilizo com 100% de satisfação !!! t+ Christopher Giese SkyWarrior Ricardo Maia wrote: Alguem disse q a palestra do CARP foi fraquinha... pois eh... Fiquei meio decepcionado mesmo, nao com os palestrantes, mas com a tecnologia. Meus olhos brilhavam ateh o instante em que foi anunciado nao funciona. Particularmente gostei mais da palestra do Carlos Paniago por duas razoes: 1. Ele manja; 2. Usou uma linguagem que me agradou muito. Como sou do meio academico, fico revoltado com girias no meio das palestras, ou tiques do tipo neh, tipo.., etc. Como sai do encontro lah pelas 14 hs, axo que perdi alguma coisa, mas pude conhecer o Joao Rocha - pessoa que eu considero muito - e o Patrick. No mais, axei interessante. Ricardo. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP - era TESTEMUNHO do BSDDAY
[EMAIL PROTECTED] wrote: Não usei o PF para NAT porque tem muito problema com FTP. Alguém tá usando o CARP com sucesso e mantendo o estado das conexões ? Sérgio, Ainda não sou usuário do PF, uso IPFILTER.. me tira uma dúvida, os problemas de ftp (ainda que use o ftp-proxy) também ocorrem quando vc usa ftp no modo passivo? pergunto pois tive problemas semelhantes no IPFILTER.. Abraços, Alexandre ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] CARP no FreeBSD 4x
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Christopher Giese SkyWarrior wrote: | Bom dia pessoal | | estou tentando colocar o CARP no FreeBSD 4.x | | pois bem. segui os passos de | | http://people.freebsd.org/~mlaier/CARP/ | | Vou explicar o que fiz e como fiz quem sabe alguem ai saiba como | resolver: | | # | | FreeBSD 4.11 STABLE | | cd /usr/src | fetch http://people.freebsd.org/~mlaier/CARP/20050110-carp.diff | mv 20050110-carp.diff carp.diff | patch -p0 carp.diff | | cd /usr/src/sys/i386/conf/ | (Edito o meu kernel e incluo a seguinte linha nele:) | device CARP | | (salvo o arquivo e saio) | | config CARP (nome do meu kernel) | | (e olha soh a resposta que ele da) | | carp# config CARP | Don't forget to do a ``make depend'' | Warning: device carp is unknown | | ## | | | Bom... fiz isto com varios PATCHS que tem na paginado mlaier... (apenas | nao fiz com os que tem o nome ...5 pq subentendo que seja para a | familia 5 do freebsd) | | Sera que o problema esta em ser FreeBSD 4.11 stable ??? (pq nos patchs | nao fala qual versao que deveria ser 4.94.84.10) | | alguem ai ja colocou carp em FreeBSD 4.x poderia dar uma dica ??? Opa, ~ O CARP depende do PF e este só tem no 5.x mesmo. Os diffs que não tem o RELENG_5 devem ser pro 6-CURRENT (HEAD) eu acho. - -- Giovanni P. Tirloni -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.6 (GNU/Linux) iD8DBQFB7/wyFui6XtAxXCYRArVaAJ9I3YS5Jai9ZdtgP4ZLHXQBYPu4MwCfd8SM UrGwkrnl39FzJ7llkVMY/WY= =H0Sp -END PGP SIGNATURE- ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/