2
PfSense CARP Sync Problem
Hallo zusammen,
ich habe heute gesehen, dass die Konfigurationen in meinem CARP Cluster auseinandergelaufen sind. Bei genauerer Analyse habe ich festgestellt, dass Packages sich noch Syncen können (Squid z.B)
aber der Config Sync nicht mehr funktioniert.
Folgendes im Log:
- Firewall Backup Member: Trotz Allow Regel auf dem Sync Interface wird der Zugriff auf Port 443 geblockt. Seltsam: Wenn ich aus dem Log Eintrag eine Easy Rule erzeuge matched die trotzdem nicht die Verbindung und es wird weiterhin geblocked.
block/1000000351 Dec 8 14:31:48 SYNC MASTERIP:6333 BACKUPIP:443 TCP:S
- Log Master
/rc.filter_synchronize: A communications error occurred while attempting to call XMLRPC method host_firmware_version: Unable to connect to tls://BACKUPIP:443. Error: Operation timed out
/rc.filter_synchronize: XMLRPC versioncheck: -- 17.3
/rc.filter_synchronize: The pfSense software configuration version of the other member could not be determined. Skipping synchronization to avoid causing a problem!
-Log Backup
/xmlrpc.php: webConfigurator authentication error for 'ADMINUSER' from MASTERIP not enough privileges
Version ist die aktuelle(2.4.2).
Für mich sieht das so aus, als wenn der Backup Member im Fall von CARP Sync via XMLRPC die Verbindung blockt und beim Packagesync via XMLRPC die Verbindung zulässt.
Ich habe gerade noch gesehen, dass es als Privileg noch System - HA node sync gibt aber auch damit ändert sich nichts.
Hat Jemand eine Idee?
lg
Theo
ich habe heute gesehen, dass die Konfigurationen in meinem CARP Cluster auseinandergelaufen sind. Bei genauerer Analyse habe ich festgestellt, dass Packages sich noch Syncen können (Squid z.B)
aber der Config Sync nicht mehr funktioniert.
Folgendes im Log:
- Firewall Backup Member: Trotz Allow Regel auf dem Sync Interface wird der Zugriff auf Port 443 geblockt. Seltsam: Wenn ich aus dem Log Eintrag eine Easy Rule erzeuge matched die trotzdem nicht die Verbindung und es wird weiterhin geblocked.
block/1000000351 Dec 8 14:31:48 SYNC MASTERIP:6333 BACKUPIP:443 TCP:S
- Log Master
/rc.filter_synchronize: A communications error occurred while attempting to call XMLRPC method host_firmware_version: Unable to connect to tls://BACKUPIP:443. Error: Operation timed out
/rc.filter_synchronize: XMLRPC versioncheck: -- 17.3
/rc.filter_synchronize: The pfSense software configuration version of the other member could not be determined. Skipping synchronization to avoid causing a problem!
-Log Backup
/xmlrpc.php: webConfigurator authentication error for 'ADMINUSER' from MASTERIP not enough privileges
Version ist die aktuelle(2.4.2).
Für mich sieht das so aus, als wenn der Backup Member im Fall von CARP Sync via XMLRPC die Verbindung blockt und beim Packagesync via XMLRPC die Verbindung zulässt.
Ich habe gerade noch gesehen, dass es als Privileg noch System - HA node sync gibt aber auch damit ändert sich nichts.
Hat Jemand eine Idee?
lg
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 357575
Url: https://administrator.de/contentid/357575
Printed on: April 24, 2024 at 04:04 o'clock
2 Comments
Latest comment
Hi,
sieht so aus als ob das letzte Upgrade (2.3.4 ->2.4) oder eins der Updates (2.4.1 bzw. 2.4.2) dir den Slave (Backup) zerschossen haben.
Mach eine Neuinstallation der Slave pfSense, ist am Schnellsten und am Sichersten, geht sogar problemlos inline d.h. im laufendem Betrieb.
Gruß
CH
sieht so aus als ob das letzte Upgrade (2.3.4 ->2.4) oder eins der Updates (2.4.1 bzw. 2.4.2) dir den Slave (Backup) zerschossen haben.
Mach eine Neuinstallation der Slave pfSense, ist am Schnellsten und am Sichersten, geht sogar problemlos inline d.h. im laufendem Betrieb.
Gruß
CH
Hi,
Ich habe es heute erstmal mit den Factory Settings probiert aber hilft alles nichts. Sauberste Lösung war Neuinstallation, import der Static Routes, Interfacees, Vlans und Aliases (PfBlockerNG erstellt die Alias Listen nicht wenn die Inhalte nur vom Master synchronisiert werden) und den Rest per erstem CARP Sync.
Sowas sollte eiegtnlich nicht passieren...
LG
Theo
Ich habe es heute erstmal mit den Factory Settings probiert aber hilft alles nichts. Sauberste Lösung war Neuinstallation, import der Static Routes, Interfacees, Vlans und Aliases (PfBlockerNG erstellt die Alias Listen nicht wenn die Inhalte nur vom Master synchronisiert werden) und den Rest per erstem CARP Sync.
Sowas sollte eiegtnlich nicht passieren...
LG
Theo
