Installation on ESXi with 2 hosts

Why disable the virtual  mac?  That is the piece that would allow more seamless failover.

On ESXi hosts you have to disable the virtual mac otherwise it will impact guests running on the slave node's host. Basically ESXi tries to play smart with vSwitches and won't route a packet out the physical interface if it sees a matching mac address on the vSwitch. Net result is loss of internet for those guests.

Oh btw i have allso set the same MAC adress on both VMs on the WAN NIC becuase my ISP has dynamic IP. So i will get the same IP if master goes down.

I have switched to E1000 NIC and result is the same.

I had this set up under two ESXi 5.5u2 hosts with an active-passive without issues using the virtual mac.  I no longer run in that configuration but I seem to remember having to add an entry to the vmx file and afterwards it seemed to run fine.  It has been a year or so since I had that all working, though.

@darrellr: For equipment running behind the vmware cluster (PC's, physical servers, etc) the virtual mac wasn't an issue. What I ran across in testing back with ESXi 4.1 (may be 'fixed' in 5.x) was any VM inside the ESXi cluster that ran on the same host as the slave node, lost internet access as the vSwitch routed UTM bound traffic to the standby slave, not the master running on another node.

Yea, I have added the ignore conflict MAC adress to both of the sophos VMs on all NICs and still the same.

Maybe im using the wrong installation media? (asg-9.211-3.1.iso)


Or any other sugestions?

@Danne84 - yeah, that was the setting.  Thanks for the reminder.

Something happend yesterday when i was testing so the VMs could not find eatch other anymore.

So i decided to just reinstall both machines and this time i used 9.3
and reverted to VMXNET3 NICs becuase that seems  to work better than E1000.

Have not completed the configuration yet but will repport back how it goes.

Only enabled promiscuous mode on the WAN right now.

Is it normal that the "syncing" takes a long time? I mean its not that mutch it has to sync.

Edit: I have encoutered same problem just now. The machines cannot find eatch other after some reboots to test the failover. When i SSH to the master i cannot ping the slave (using the IP on the sync interface)

and when i look at the ARP list it shows the MAC-adress on the sync interface as "incomplete"

has nyone else seens this problem?

I should mention that i run  the sync interface (eth2) on a seperat VLAN.

Could it be the ESXi hosts built in firewalls that creates this problem?

This i what i get when i try to ping the slave from the master on the sync interface:

Destination Host Unreachable.

Now i see that it is jumping between master and slave the howl time.
Drops connections to webgui and ssh when switching over so hard do to work with it at this point.

Seems that no one else has theese kind of wierd problems?

Last question before i abandone sophos....

Does sophos provide any official documents regarding installation with HA on a vmware esxi cluster? If not i'm afraid i have to look at another solution.

Hi Danne84,

Not that I am aware of though I'm sure someone probably has a document somewhere.

Second question, if you have two or more host nodes in a vmware cluster, why do you need to run a UTM cluster spread over those hosts? VMware's own HA/FaultTolerance does a decent job of rebooting the UTM guest on a surviving host if you experience host failure.