Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 16700 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to access WebAdmin when HA Active-Passive is enabled.

MrGoodBytes_01
Hi Everyone,

I've been having some trouble setting up an Active-Passive/Hot Standby High Availability configuration with two UTM9 nodes. Both are licensed for this configuration.

The problem is whenever I enable the High Availability option, either using Automatic Configuration or manual (following this guide: How to set up High Availability without automatic configuration: Astaro Security Gateway) I loose access to WebAdmin and have to wipe/reinstall the OS to get it working again. Connection to the WAN also drops, but WebAdmin is the primary concern.

The overall configuration:
2 UTM Gateways hosted as Gen1 VMs on Hyper-V 2012 R2 (cluster)
Each VM has 4 NICs as follows:
   - NIC0 = External (WAN)
   - NIC1 = Internal
   - NIC2 = Management (WebAdmin can only be accessed from this VLAN)
   - NIC3 = High Availability

NIC3 connects the two UTM hosts to a private VLAN which they can communicate via. They do connect, as one time I say UTM-2 connect as Node2 before being disconnected from it.

I don't think the problem is related to my nodes, as even with UTM-2 offline and configuring HA on a UTM-1 I still loose connection to WebAdmin on it. Also, with UTM-2 online, the increase in disk and CPU activity suggests that it is indeed syncing as it is supposed to. Yet WebAdmin and WAN access drops out.

This really has me puzzled. Can anyone offer any suggestions?


This thread was automatically locked due to age.
Parents
  • 0
    Thought I might provide an update. This has been resolved.

    Sophos Support spent a couple weeks investigating and came up with the answer.

    The issue here was caused by the virtual MAC address of a UTM HA system. 

    In short I had two options, either verify the MAC Spoofing function the Hyper-V or disable the virtual MAC on the master UTM before joining the HA. 

    Details Below:


    How to resolve issues with Virtual UTMs configured for High Availability

    This article describes some potential issues when using HA with virtual UTMs and how to resolve them.
    Related product: Sophos UTM Software Appliance v9.107

    Related version: since version 8.0

    What To Do

    Issue: All connectivity drops after a short time after enabling HA

    When enabling HA in a virtual environment, the slave UTM will generate a virtual MAC address for each interface identical to that of the master UTM. In many cases, virtual switches don't handle this properly and connectivity is lost as a result. 

    To resolve this issue, you can either enable virtual MAC address spoofing on your virtual machine host (to ensure the spoofed addresses are detected correctly), or disable virtual mac address creation on the UTM. See below for instructions on doing so:

    Where to configure: Console/SSH

    Access required: root

    1. Login to the UTM console as root. 
    2. Enter the following command to determine if HA virtual_mac is enabled:
    cc get ha advanced virtual_mac
    3. If the output is 1, you can disable it by entering the following:
    cc set ha advanced virtual_mac 0
    4. Restart all virtual UTMs.

    Hope this helps anyone else having the same or similar problem.

    -MrGoodBytes
Reply
  • 0
    Thought I might provide an update. This has been resolved.

    Sophos Support spent a couple weeks investigating and came up with the answer.

    The issue here was caused by the virtual MAC address of a UTM HA system. 

    In short I had two options, either verify the MAC Spoofing function the Hyper-V or disable the virtual MAC on the master UTM before joining the HA. 

    Details Below:


    How to resolve issues with Virtual UTMs configured for High Availability

    This article describes some potential issues when using HA with virtual UTMs and how to resolve them.
    Related product: Sophos UTM Software Appliance v9.107

    Related version: since version 8.0

    What To Do

    Issue: All connectivity drops after a short time after enabling HA

    When enabling HA in a virtual environment, the slave UTM will generate a virtual MAC address for each interface identical to that of the master UTM. In many cases, virtual switches don't handle this properly and connectivity is lost as a result. 

    To resolve this issue, you can either enable virtual MAC address spoofing on your virtual machine host (to ensure the spoofed addresses are detected correctly), or disable virtual mac address creation on the UTM. See below for instructions on doing so:

    Where to configure: Console/SSH

    Access required: root

    1. Login to the UTM console as root. 
    2. Enter the following command to determine if HA virtual_mac is enabled:
    cc get ha advanced virtual_mac
    3. If the output is 1, you can disable it by entering the following:
    cc set ha advanced virtual_mac 0
    4. Restart all virtual UTMs.

    Hope this helps anyone else having the same or similar problem.

    -MrGoodBytes
Children
No Data