Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 38368 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM9 Active-Passive HA on vmWare

TerryJohnson
After three weeks of troubleshooting we still haven't got our active-passive HA pair of UTMs working properly.

All VMs of the same vmWare host as the passive UTM still have its MAC addresses in their ARP tables as the destinations for packets to the UTM IP addresses, so they can't ping the UTM or communicate at all outside of their own subnet. Everything works fine with only one UTM running, and we also have some CentOS Cluster VMs and they can move IP addresses around without any issues.

What mechanism does UTM9 HA use to update ARP?  There must be something subtly different about the way UTM9 does it and the way CentOS does it…


This thread was automatically locked due to age.
  • 0
    Hi, Terry, and welcome to the User BB!

    Are these both running in the same, physical server?  If so, there's a trick: google site:astaro.org passive virtual MAC address

    Did that help?

    Cheers - Bob
  • 0 in reply to BAlfson
    Interesting. I disabled the virtual MAC addresses, booted the slave, synced it, rebooted it, let it sync again, and still the ARP tables of VMs on both hosts  contain the virtual MACs... and pings from VMs on the same host as the master still work, even with MACs that should no longer exist...[:S]

    And, why does it take five hours to sync a slave?
  • 0
    So then I rebooted the master... and when it came back up, all the virtual MACs had reappeared.
  • 0
    It sounds like you didn't run this with cc.  As root, try
    /usr/locl/bin/confd-client.plx set ha advanced virtual_mac 0


    Cheers - Bob
  • 0 in reply to BAlfson
    That seems to have done the trick, but it shouldn't be necessary to drop to root and use cc just to get up and running. 

    The point of paying good money for a professionally supported firewall is not to have to fiddle with it...
  • 0
    Most High-Availability setups are in different, physical servers where this change would break the functionality, I think.  If your reseller didn't know this answer, they would have connected you with Support.

    Cheers - Bob
  • 0 in reply to BAlfson
    I'm having a very similar problem as the original poster.  Here's the setup:
    2 physical servers running vmware ESXi 5.0
    identical UTM 9.004 VMs running on each physical server setup as Active/Passive HA

    With just one UTM VM running, everything is fine.  But when I bring up the second UTM VM, then the other VMs running on that same physical server as the passive UTM can't communicate through the UTM.  It's as if ESXi were routing all of their out bound traffic through the passive UTM.  I've tried rebooting those VMs but it does not help.  When I shutdown the passivm UTM VM they start communicating again.

    Is this a VMware issue?
  • 0
    Jim, I don't think this is the same issue as the OP as his issue was both VMs in the same physical server.  If this is your first time to set up HA, I wonder if you didn't mis-interpret the instructions.  Could you describe the steps you took to set this up?

    Cheers - Bob
  • 0 in reply to BAlfson
    We have a similar issue. 
    Configuration:
    2 ESX Hosts 5.0
    Sophos UTM 9.003-16 - VM

    We deployed the VMs on the two ESX Hosts. After installing and configuring the Master we activated  Active-Passive Cluster via Auto-Configuration. 
    After Syncing the SLAVE with the Master, all VMs on the this ESX Host where the SLAVE was running went offline (we were not able to ping or Access the VMs.)
    So we shutdown the SLAVE and all went up again. 
    At the moment VLAN Routing is implemented via the UTM.

    Does anyone have a Configuration Guide for implementing Sophos UTM HA with Vmware ESX?

    kind regards 
    Marco
  • 0
    Hi, Marco,

    I know this was addressed here recently (this year, I think).  Try googling site:astaro.org ESXi slave.

    If you find what you need, please post the link here on your thread.

    Cheers - Bob