Настроен кластер отказоустойчивости Актив-Пассив, состоящий из 2-х узлов; используются 2 провайдера, каждый из которых выделил по одному белому адресу. Белые IP-адреса указаны в качестве виртуальных адресов (VIP). Проблема заключается в том, что при включенной проверке сети, если оба оператора ее не прошли, виртуальные IP-адреса пропадают и после восстановления соединения не могут появиться, т.к. проверка сети не может быть выполнена без VIP адресов.
В качестве решения предлагается использовать правила типа Policy-based routing со сценарием типа Проверка состояния вместо проверки сети.
Настройка правил производится в разделе Политики сети ➜ NAT и маршрутизация. Правила PBR, предназначенные для основного провайдера, сценариев не используют. Правила, предназначенные для резервного провайдера, используют сценарии, созданные на шаге 2.
Переход на резервный провайдер происходит за счёт срабатывания негативного сценария в правиле Policy-based routing для резервного провайдера. Срабатывание сценария произойдет при отрицательном результате проверки состояния; в результате выполнения сценария, трафик будет перенаправлен через шлюз резервного провайдера.
После восстановления основного провайдера и по прошествии указанного количества времени (указывается в настройках сценария на вкладке Общие, параметр Продолжительность) сценарий отключается, и трафик маршрутизируется через шлюз основного провайдера.
2 программно-аппаратных комплекса с разной версией программного обеспечения: 1-й - с новой версией, 2-й - с прошивкой ранней версии.
Обновите 2-й ПАК до версии, установленной на 1-м устройстве:
Для этого подготовьте USB-носитель, диск должен иметь формат NTFS или FAT32 (рекомендуем FAT32). Из личного кабинета UserGate скачайте необходимый файл обновления и сохраните его в корень съёмного USB-носителя.
Вставьте USB-носитель в устройство и проверьте, что в BIOS в приоритете выставлена загрузка со встроенного в устройство HDD.
В процессе обновления сервер перезагрузится дважды. В первый раз перезагрузится со старой версией, во второй раз - уже с новой.
Между первой и второй перезагрузкой управление устройством через веб-интерфейс и CLI недоступно.
После обновления произведите добавление узла в кластер. Подробнее читайте в разделе Кластеризация и отказоустойчивость руководств по NGFW и MC.
Активировать лицензию на кластере.
В кластере UserGate лицензия ставится только на "мастер-узел". После добавления следующего узла кластера, он(узел) возьмёт лицензию с мастер-узла.
То есть лицензия одна - кластерная, и активируется ей только мастер-узел.
Один из узлов кластера в статусе "отсутствует лицензия".
Скорее всего вам выдали лицензию без поддержки кластеризации. Как активировать лицензию в кластере смотрите здесь.
Кластер исправен, но трафик идет через активный и пассивный узлы одновременно.
Данный эффект может возникать, если на коммутаторах, использующихся сторонним оборудованием для подключения к UserGate, запрещено прохождение пакетов Gratuitous Arp. Таким образом, при смене режима работы узлов кластера (переключении), на ответном оборудовании в ARP-таблицах останется старый MAC-адрес узла кластера, и трафик будет переходить на новый узел по мере обновления ARP-таблиц оборудования. Для решения данной проблемы, следует проинспектировать магистральное оборудование на предмет фильтрации ARP пакетов.
При добавлении еще одного VIP интерфейса в кластер отказоустойчивости, происходит сбой экземпляра отказоустойчивости кластера
Нарушение работоспособности кластера может происходить по нескольким причинам:
1. Не разрешен VRRP в настройках зон, участвующих в формировании кластера. В этом случае оба экземпляра кластера будут иметь роль мастер и фактически кластер не будет функционировать.
2. Добавляемый интерфейс не имеет IP адреса. Для интерфейсов, участвующих в создании кластера (VIP), необходимо наличие IP адреса, желательно из одного и того же диапазона для всех интерфейсов.
Меняются ли МАС-адреса, во время смены активного узла кластера для VIP адресов?
Да, при переходе виртуального адреса новый мастер отправляет gratuitous arp для изменения MAC-адреса виртуального IP в ARP-таблицах соседних маршрутизаторов.
Развернут кластер устройств Актив-Пассив. Между офисами настроены 2 VPN-туннеля L2TP IPSec на 2х разных провайдерах. При отключении одного VPN-туннеля трафик переключается на другой туннель. Проблема с переходом туннелей при отказе основного узла кластера, они не переходят на резервный, поэтому теряется VPN-соединение.
При работе с двумя провайдерами очень важно привязать обратный трафик VPN-соединений к тому провайдеру на адрес которого устанавливается соединение. Для привязки трафика нужно создать правила PBR с пустой зоной источника и адресом источника соответствующим виртуальному адресу на который соединяется клиент из облака и выбрать в нём шлюз соответствующего провайдера. Правил должно быть 4 - по два для каждого из узлов(1 правило на каждый шлюз провайдера, поскольку провайдеров два, правил - 2 на каждый узел).
Как увидеть состояние VRRP?
Состояние VRRP можно увидеть в меню Кластер отказоустойчивости, в случае каких либо проблем, там будет выведена надпись ошибка и значок предупреждения.
Как перезагрузить сервис VRRP?
Перезагрузку VRRP вызовет любое изменение в кластере отказоустойчивости (включение\выключение, добавление удаления адреса или интерфейса в кластер).