Caro Alain O IP da inteface virtual CARP0 não é um IP da sua rede interna e sim um endereço fixo na interface VIRTUAL que tem como suas rotas os IPs da interface externa dos firewalls os endereços que seu ISP lhe fornece. Não existe 10.0.0.2 ou 10.0.0.3(em um firewall-C se existir). A interface VIRTUAL CARP0 é apenas o endereço IP 10.0.0.1(frisando novamente que este é um IP fictício) comum e conectado a todos os firewalls com a tecnologia CARP .
Do lado de dentro da sua rede: Sua rede é(por exemplo) 192.168.100.0/24 e o IP 192.168.100.5 é o seu gateway para a internet, este IP é igual para todos os firewalls com a tecnologia CARP, como num cluster este é o que chamam de IP de serviço. O firewall-A tem o IP 192.168.100.5 O firewall-B tb tem o IP 192.168.100.5 Sei que parece estranho, mas o CARP fica mudando constantemente a tabela ARP do seu switch dizendo que o IP 192.168.100.5 hora é o MAC Address do firewall-A e hora é o MAC Address do firewall-B, quando uma das máquinas se desconectam o CARP deste equipamento que caiu não atualiza mais a tabela ARP do seu switch com o seu MAC Address. Assim o gateway passa a ser apenas a(s) máquina(s) que está(ão) funcionando. Do lado Externo: IP da interface CARP0(10.0.0.1) comum e conectado tanto no firewall-A quanto no firewall-B, ou firewall-C(se existir) e o NAT é feito nesta interface. Imagine que esta interface(CARP0) tem como rotas de saída e/ou entrada os IPs das interfaces externas do firewall-A e do firewall-B. Exempl prático: Cliente(192.168.100.50) -->gateway interno(192.168.100.5) -->CARP0(10.0.0.1) aqui é feito o NAT--> apartir daqui ele escolhe(ou alterna para) a interface externa do firewall-A ou do firewall-B como se fossem rotas para chegar ao servidor-X que está conectado ao CARP0(10.0.0.1). Se a rota é o firewall-A e ele cair o CARP0 muda sua rota para o firewall-B e continua a conexão com o servidor destino com o mesmo IP de origem o do CARP0(10.0.0.1) Blz. Se preferir contato por telefone, envie seu nº para o e-mail [EMAIL PROTECTED] terei prazer em explicá-lo. Conversando fica mais fácil. digitar tudo isto por e-mail(o conceito todo) é demorado. ----- Original Message ----- From: "Alain M." <[EMAIL PROTECTED]> To: <[email protected]> Sent: Wednesday, August 30, 2006 5:39 PM Subject: Re: [servux] Software de redundância > Ok Paulo, > > Obrigado pela paciencia, estamos progredindo. Os IPs ajudaram a > localizar lehor onde eu me perdi... > > Paulo Silva (SMCSP) escreveu: >> No servidor X o endereço IP conectado a ele não é o seu Speedy(200.0.0.1) >> ou >> o seu Ajato(200.0.0.2) e sim a interface virtual CARP0 que tem um IP >> 10.0.0.1(ip fictício por exemplo) > > É aqui que eu não estou entendendo. O ip 10.0.0.1 é o meu ip da rede > interna que que na verdade é uma dos dois gateways A ou B que por exemlo > podem ser 10.0.0.2 e 10.0.0.3, o que está me deixando confuso é que como > existe um NAT no gateway em uso, para o servidor X meu IP tem que ser > aquele que o meu ISP me fornece naquela conexão. Até onde eu entendi, o > servidor X tem que usar meu ip externo senão os pacotes não acham o > caminho de volta... > >> Esta interface virtual CARP0 tem duas rotas de saída e/ou entrada >> disponíveis, que são os seus dois IPs válidos do IP do Speedy(200.0.0.1) >> e o >> IP do Ajato(200.0.0.2). > > Eu não entendi esta frase: a interface do firewall-A só pode ter uma > rota para fora porque o meu ISP só me deu um ip, então eu não entedi :( > > Seria possível capturar um IP válido de uma outra conexão de outro ISP? > > Grato, > Alain > ---------------------------- >> Se a conexão está feita entre o CARP0 e o seu servidor X pela rota do >> firewall-A o seu Speedy(200.0.0.1). >> >> O seu Speedy(200.0.0.1) caiu, apagou, travou, desligou. >> >> O CARP0 não encotra mais seu servidor X pela rota do firewall-A só que o >> estado desta conexão tb está no firewall-B(PFSYNC) o CARP0 apenas muda a >> sua >> rota para o Ajato(200.0.0.2) mantendo a conexão. >> >> >> >> Conclusão: >> >> O que muda não são os IPs na conexão, pois os IPs de origem(CARP0) e >> destino(servidor X) continuam os mesmos, o que muda é a rota entre eles. >> >> O NAT não é feito entre o firewall-A ou o firewall-B e o destino(, mas >> sim >> entre uma interface virtual(CARP0) criada pelos dois onde ambos estão >> conectados. >> >> Os IPs válidos das conexões(Speedy e Ajato)são apenas rotas para a >> interface >> CARP0, quando uma cai e apenas muda a rota para a outra. >> >> >> >> Espero ter sido mais claro, se vc tem mais dúvidas, pode postar que >> estamos >> a disposiçao. >> >> >> Abraço... >> >> >> ----- Original Message ----- >> From: "Alain M." <[EMAIL PROTECTED]> >> To: <[email protected]> >> Sent: Wednesday, August 30, 2006 2:25 PM >> Subject: Re: [servux] Software de redundância >> >> >>> Caro Paulo, >>> >>> Teoria a parte, vamos estudar o caso de que falei: >>> - Roteador A, ip externo 200.0.0.1, speedy da Telefonica >>> - Roteador B, ip externo 200.0.0.2, Ajato da TVA >>> - Servidor de download X, ftp >>> - eu na rede interna, acho desnecessário exeplificar esses ips. >>> >>> - Eu começo um download do servidor X, usando o Roteador A. Devido ao >>> NAT, o servidor X acha que meu IP é 200.0.0.1. >>> - A máquina A cai, o roteamento é transferido para a máquina B, o estado >>> da minha conexão é transferido também. *Eu* não percebo a mudança, então >>> vou continuar meu download... >>> - O servidor X, agora está recebendo os pacotes com origem do ip >>> 200.0.0.2, só que não existe ninguém conectado ao servidor X com esse >>> IP. >>> >>> Tem solução? >>> >>> Abraços, >>> Alain >>> >>> >>> Paulo Silva (SMCSP) escreveu: >>>> Caro Alain, >>>> >>>> Qdo o CARP sobe em duas ou mais máquinas, cria-se uma interface virtual >> tipo CARP0( carp zero) onde todas as conexões para qualquer servidor(ftp, >> web, ssh, http, etc)são originadas desta interface, os IPs válidos >> distintos >> na internet q vc mencionou funcionam como roteadores para esta interface >> virual, o PFSYNC sincroniza o estado de conexão dos firewalls com a >> interface CARP0, qdo uma conexão cai o CARP + PFSYNC apenas muda o >> roteamento do IP válido que caiu para o IP válido que está funcionando. >>>> Entendeu agora q a vantagem do OpenBSD não deixou de ser tão vantagem >> assim ? >>>> Espero ter sido claro agora, qualquer outra dúvida estamos a >>>> disposição. >>>> >>>> >>>> >>>> ----- Original Message ----- >>>> From: "Alain M." <[EMAIL PROTECTED]> >>>> To: <[email protected]> >>>> Sent: Monday, August 28, 2006 4:41 PM >>>> Subject: Re: [servux] Software de redundância >>>> >>>> >>>>> Ok Paulo, isto seria para redundancia tipo Ativo/Passivo, como você >>>>> transforma isso no tipo ativo/ativo? tem jeito? ... usa uma regra para >>>>> dividir o tráfego e redireciona por traz? >>>>> >>>>> Eu não uso o BSD, mas existe também o UCARP para Linux mas não o >> pfsync, >>>>> isso quer dizer que as coneções em andamento vão cair, mas >> provávelmente >>>>> se a maquina backup tem um IP diferente vai cair do outro lado de >>>>> qualque jeito... >>>>> >>>>> Alain >>>>> >>>>> Paulo Silva (SMCSP) escreveu: >>>>>> Para redundancia de link, uso e conheço apenas o CARP é o Protocolo >> de >>>>>> Redundância de Endereço Comum (Common Address Redundancy Protocol) + >> pfsync >>>>>> que roda no OpenBSD. >>>>>> >>>>>> Segue abaixo o link: >>>>>> >>>>>> http://www.openbsd.org/faq/pf/pt/carp.html >>> >>> >>> >>> --------------------------------------------------------------------- >>> Esta lista é EXCLUSIVAMENTE destinada aos assuntos servidores Linux e >> clientes Linux em rede. Quem insistir em não seguir esta regra será >> moderado >> ou terá o envio de msg suspenso sem prévio aviso. >>> --------------------------------------------------------------------- >>> Soluções Clássicas: >> http://br.groups.yahoo.com/group/servux/links/Mensagens_001047609003/ >>> --------------------------------------------------------------------- >>> Esta lista é moderada de acordo com o previsto em >> http://www.listas-discussao.cjb.net >>> --------------------------------------------------------------------- >>> Servidor Newsgroup da lista: news.gmane.org >>> Grupo: gmane.org.user-groups.linux.brazil.servux >>> >>> >>> >>> >>> >>> Links do Yahoo! Grupos >>> >>> >>> >>> >>> >>> >>> >>> >> >> >> >> >> --------------------------------------------------------------------- >> Esta lista é EXCLUSIVAMENTE destinada aos assuntos servidores Linux e >> clientes Linux em rede. Quem insistir em não seguir esta regra será >> moderado ou terá o envio de msg suspenso sem prévio aviso. >> --------------------------------------------------------------------- >> Soluções Clássicas: >> http://br.groups.yahoo.com/group/servux/links/Mensagens_001047609003/ >> --------------------------------------------------------------------- >> Esta lista é moderada de acordo com o previsto em >> http://www.listas-discussao.cjb.net >> --------------------------------------------------------------------- >> Servidor Newsgroup da lista: news.gmane.org >> Grupo: gmane.org.user-groups.linux.brazil.servux >> >> >> >> >> >> Links do Yahoo! Grupos >> >> >> >> >> >> >> >> >> >> > > > > --------------------------------------------------------------------- > Esta lista é EXCLUSIVAMENTE destinada aos assuntos servidores Linux e > clientes Linux em rede. Quem insistir em não seguir esta regra será > moderado ou terá o envio de msg suspenso sem prévio aviso. > --------------------------------------------------------------------- > Soluções Clássicas: > http://br.groups.yahoo.com/group/servux/links/Mensagens_001047609003/ > --------------------------------------------------------------------- > Esta lista é moderada de acordo com o previsto em > http://www.listas-discussao.cjb.net > --------------------------------------------------------------------- > Servidor Newsgroup da lista: news.gmane.org > Grupo: gmane.org.user-groups.linux.brazil.servux > > > > > > Links do Yahoo! Grupos > > > > > > > > > --------------------------------------------------------------------- Esta lista é EXCLUSIVAMENTE destinada aos assuntos servidores Linux e clientes Linux em rede. Quem insistir em não seguir esta regra será moderado ou terá o envio de msg suspenso sem prévio aviso. --------------------------------------------------------------------- Soluções Clássicas: http://br.groups.yahoo.com/group/servux/links/Mensagens_001047609003/ --------------------------------------------------------------------- Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net --------------------------------------------------------------------- Servidor Newsgroup da lista: news.gmane.org Grupo: gmane.org.user-groups.linux.brazil.servux Links do Yahoo! Grupos <*> Para visitar o site do seu grupo na web, acesse: http://br.groups.yahoo.com/group/servux/ <*> Para sair deste grupo, envie um e-mail para: [EMAIL PROTECTED] <*> O uso que você faz do Yahoo! Grupos está sujeito aos: http://br.yahoo.com/info/utos.html
