Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 16698 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to access WebAdmin when HA Active-Passive is enabled.

MrGoodBytes_01
Hi Everyone,

I've been having some trouble setting up an Active-Passive/Hot Standby High Availability configuration with two UTM9 nodes. Both are licensed for this configuration.

The problem is whenever I enable the High Availability option, either using Automatic Configuration or manual (following this guide: How to set up High Availability without automatic configuration: Astaro Security Gateway) I loose access to WebAdmin and have to wipe/reinstall the OS to get it working again. Connection to the WAN also drops, but WebAdmin is the primary concern.

The overall configuration:
2 UTM Gateways hosted as Gen1 VMs on Hyper-V 2012 R2 (cluster)
Each VM has 4 NICs as follows:
   - NIC0 = External (WAN)
   - NIC1 = Internal
   - NIC2 = Management (WebAdmin can only be accessed from this VLAN)
   - NIC3 = High Availability

NIC3 connects the two UTM hosts to a private VLAN which they can communicate via. They do connect, as one time I say UTM-2 connect as Node2 before being disconnected from it.

I don't think the problem is related to my nodes, as even with UTM-2 offline and configuring HA on a UTM-1 I still loose connection to WebAdmin on it. Also, with UTM-2 online, the increase in disk and CPU activity suggests that it is indeed syncing as it is supposed to. Yet WebAdmin and WAN access drops out.

This really has me puzzled. Can anyone offer any suggestions?


This thread was automatically locked due to age.
  • 0
    Thought I might provide an update. This has been resolved.

    Sophos Support spent a couple weeks investigating and came up with the answer.

    The issue here was caused by the virtual MAC address of a UTM HA system. 

    In short I had two options, either verify the MAC Spoofing function the Hyper-V or disable the virtual MAC on the master UTM before joining the HA. 

    Details Below:


    How to resolve issues with Virtual UTMs configured for High Availability

    This article describes some potential issues when using HA with virtual UTMs and how to resolve them.
    Related product: Sophos UTM Software Appliance v9.107

    Related version: since version 8.0

    What To Do

    Issue: All connectivity drops after a short time after enabling HA

    When enabling HA in a virtual environment, the slave UTM will generate a virtual MAC address for each interface identical to that of the master UTM. In many cases, virtual switches don't handle this properly and connectivity is lost as a result. 

    To resolve this issue, you can either enable virtual MAC address spoofing on your virtual machine host (to ensure the spoofed addresses are detected correctly), or disable virtual mac address creation on the UTM. See below for instructions on doing so:

    Where to configure: Console/SSH

    Access required: root

    1. Login to the UTM console as root. 
    2. Enter the following command to determine if HA virtual_mac is enabled:
    cc get ha advanced virtual_mac
    3. If the output is 1, you can disable it by entering the following:
    cc set ha advanced virtual_mac 0
    4. Restart all virtual UTMs.

    Hope this helps anyone else having the same or similar problem.

    -MrGoodBytes
  • 0
    Just ran into this issue this evening, had no idea what was happening. Cost me a couple of hours troubleshooting with no luck until I found this thread. On Hyper-V is runs fine now, but how do you enable Virtual MAC address spoofing on vSphere 5.5? In Hyper-V there's a checkbox for it on the NIC Advanced settings, but can't find something similar in vSphere.
  • 0
    You do not need to enable spoofing in vmware, just run the command in the console of the two VMs and it should work. I have this setup in vSphere 5.1.
  • 0
    I'd rather change it on the host level, since it's easy to forget to modify when doing a reinstall.

    Also, why isn't this setting enabled by default by UTM when it detects it's running in a virtual environment?
  • 0
    The spoofing in Hyper-V is a additional setting. You would need to run the shell commands for the virtual mac also on the VMs if you use Hyper-V, so on VMware it is one configuration less.

    If this would be automatic set on the UTM and you would forget to enable spoofing you loose complete access also with just one UTM, so i understand that this is not set by default on a virtual infrastructure.
  • 0
    That is not correct. As stated in the post above and by my experience it's either one of them. Or you change it in the VM itself, or on the settings of the VM in Hyper-V. See screenshot. After checking 'enable MAC address spoofing' everything started working again, without changing anything inside the UTM VM using the commandline.

    So, if  UTM would change the setting inside the VM by itself during setup, you don't have to do any additional configuration on the VM host side.
  • 0
    I'm not sure how Hyper-V handels MAC Adresses, but the problem in VMware is that the Virtual Switches can't handle the different MAC Adresses for the same VM on different hosts. i don't know the exact Issue, but I always thought that this is the same Problem in Hyper-V.  The last time i had the UTM on a Hyper-V i had to change the settings on the UTM and on the Hosts (i think).
  • 0
    Ok, but what if I have one physical and one virtual UTM? Do I need to change the setting on both  or just on the virtual one? And is this setting persistent across updates/upgrades?
  • 0
    AFAIK you need two identical UTMs (Hardware/Software/Virtual) for HA.
  • 0
    I remember someone posting here about using a real and virtual machine in Hot-Standby. Hopefully, TheDrew will see this thread and answer the question about a virtual MAC in such a case. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.