Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 27000 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configuring HA (High Availability)

m@rek
Hi,

Recently, I deployed Sophos SG135 with 3 years of premium support and now I would like to install in that remote office second Sophos SG135 appliance and have them configured in HA mode.

I want to utilize Active/Passive HA (Hot Standby) method.

Question1: Does second appliance needs to be same model?
Question2: Do I need to buy support for the second appliance?
Question3: Please, look at my diagram and let me know if it makes sense. I want to follow the best practices and I cannot find one clean How-to, setp-by-step documents.


This thread was automatically locked due to age.
Parents
  • 0
    OK I **think** I finally have it working now.  I changed Primary to Hot/Standby and configured the node name, passphrase etc.

    I noticed I was getting routing issues throughout the day. Just slow intermittent issues. Since HA wasnt working properly I figured it may be the Slave on the network with the same 192.168.0.1 IP and since its not working in HA Slave mode, its just mucking up the routing.

    So..you guessed it..had to remove the Primay SG125 from the network so I could see if I could still talk to a x.x.0.1 address and of course I could which was the backup SG125. Logged into it to see how the HA was set in it since I did a recent FACTORY RESET.

    Well, low and behold the HA was set to "Automatic" which is fine, but the NIC was reset to ETH03.  I said ETHERNET 3.  Have no idea how this was done because I never did it. Does the factory reset this to ETH3 instead of ETH2???  So for the last couple days of troubleshooting I was basically the HA to a dark port on ETH02.

    So I set the backup SG125 HA port to ETH02 and doublechecked that my manual firmware update done a cpl days ago was indeed 9.350-12 like the primary. Then pulled backup SG125 off network and put primary SG125 back on network. Logged into primary and turned off and set up HA mode again as Standby just for grins.

    Then grabbed my 6 inch cat-5 cable and replugged the two ETH02 HA ports together.  Got good lights. Checked HA live log and got this: 

    2015:10:21-23:06:08 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 43 08.715" name="Reading cluster configuration"

    2015:10:21-23:06:23 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 44 23.655" name="Clear syncing.files for node 2"

    2015:10:21-23:06:23 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 45 23.877" name="Monitoring interfaces for link beat: eth1 eth0"

    2015:10:22-05:06:30 ddpnet-2 repctl[14697]:  stop_backup_mode(664): stopped backup mode at 000000010000000100000038

    2015:10:22-05:06:30 ddpnet-2 repctl[14697]:  execute(1627): waiting for server to start....

    2015:10:22-05:06:31 ddpnet-2 repctl[14697]:  execute(1627): done

    2015:10:22-05:06:31 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 42 31.194" name="HA control: cmd = 'sync stop 1 database'"

    2015:10:22-05:06:31 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 43 31.194" name="Deactivating sync process for database on node 1"

    2015:10:22-05:06:31 ddpnet-2 repctl[14697]:  setup_replication(229): checkinterval 300

    2015:10:22-05:06:49 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 44 49.693" name="Monitoring interfaces for link beat: eth1 eth0"

    2015:10:22-05:07:03 ddpnet-2 conntrack-tools[15104]: flushing kernel conntrack table (scheduled)

    2015:10:22-05:10:46 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 45 46.800" name="Initial synchronization finished!"

    2015:10:22-05:10:46 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 46 46.801" name="state change SYNCING(2) -> ACTIVE(0)"

    2015:10:21-23:11:01 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 46 01.619" name="Node 2 changed state: SYNCING(2) -> ACTIVE(0)"

    2015:10:22-05:22:25 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 47 25.876" name="Reading cluster configuration"

    2015:10:22-05:22:30 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 48 30.972" name="Monitoring interfaces for link beat: eth1 eth0"

    2015:10:21-23:56:01 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 47 01.149" name="Executing (wait) /usr/local/bin/confd-setha mode master master_ip 198.19.250.1 slave_ip 198.19.250.2"

    2015:10:21-23:56:01 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 48 01.450" name="Executing (nowait) /etc/init.d/ha_mode check"

    2015:10:21-23:56:01 ddpnet-1 ha_mode[32602]: calling check

    2015:10:21-23:56:01 ddpnet-1 ha_mode[32602]: check: waiting for last ha_mode done

    2015:10:21-23:56:01 ddpnet-1 ha_mode[32602]: check_ha() role=MASTER, status=ACTIVE

    2015:10:21-23:56:01 ddpnet-1 ha_mode[32602]: check done (started at 23:56:01)  [/CODE]

    

    So I think all the statuses on the primary SG125 HA tab are looking good now and this log appears as it should? Both boxes now on same current firmware. Both connected to LAN and WAN. Both daisy chained on ETH02 HA ports.

    

    I have the primary set up as Preferred Master just so whenever its back online its the main active firewall box.

    

    Based on what you see, did I solve the riddle? Fingers crossed! Thanks for ongoing help. I may end up writing a forum tutorial on this to help the next guy avoid all my dead ends.
Reply
  • 0
    OK I **think** I finally have it working now.  I changed Primary to Hot/Standby and configured the node name, passphrase etc.

    I noticed I was getting routing issues throughout the day. Just slow intermittent issues. Since HA wasnt working properly I figured it may be the Slave on the network with the same 192.168.0.1 IP and since its not working in HA Slave mode, its just mucking up the routing.

    So..you guessed it..had to remove the Primay SG125 from the network so I could see if I could still talk to a x.x.0.1 address and of course I could which was the backup SG125. Logged into it to see how the HA was set in it since I did a recent FACTORY RESET.

    Well, low and behold the HA was set to "Automatic" which is fine, but the NIC was reset to ETH03.  I said ETHERNET 3.  Have no idea how this was done because I never did it. Does the factory reset this to ETH3 instead of ETH2???  So for the last couple days of troubleshooting I was basically the HA to a dark port on ETH02.

    So I set the backup SG125 HA port to ETH02 and doublechecked that my manual firmware update done a cpl days ago was indeed 9.350-12 like the primary. Then pulled backup SG125 off network and put primary SG125 back on network. Logged into primary and turned off and set up HA mode again as Standby just for grins.

    Then grabbed my 6 inch cat-5 cable and replugged the two ETH02 HA ports together.  Got good lights. Checked HA live log and got this: 

    2015:10:21-23:06:08 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 43 08.715" name="Reading cluster configuration"

    2015:10:21-23:06:23 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 44 23.655" name="Clear syncing.files for node 2"

    2015:10:21-23:06:23 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 45 23.877" name="Monitoring interfaces for link beat: eth1 eth0"

    2015:10:22-05:06:30 ddpnet-2 repctl[14697]:  stop_backup_mode(664): stopped backup mode at 000000010000000100000038

    2015:10:22-05:06:30 ddpnet-2 repctl[14697]:  execute(1627): waiting for server to start....

    2015:10:22-05:06:31 ddpnet-2 repctl[14697]:  execute(1627): done

    2015:10:22-05:06:31 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 42 31.194" name="HA control: cmd = 'sync stop 1 database'"

    2015:10:22-05:06:31 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 43 31.194" name="Deactivating sync process for database on node 1"

    2015:10:22-05:06:31 ddpnet-2 repctl[14697]:  setup_replication(229): checkinterval 300

    2015:10:22-05:06:49 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 44 49.693" name="Monitoring interfaces for link beat: eth1 eth0"

    2015:10:22-05:07:03 ddpnet-2 conntrack-tools[15104]: flushing kernel conntrack table (scheduled)

    2015:10:22-05:10:46 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 45 46.800" name="Initial synchronization finished!"

    2015:10:22-05:10:46 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 46 46.801" name="state change SYNCING(2) -> ACTIVE(0)"

    2015:10:21-23:11:01 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 46 01.619" name="Node 2 changed state: SYNCING(2) -> ACTIVE(0)"

    2015:10:22-05:22:25 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 47 25.876" name="Reading cluster configuration"

    2015:10:22-05:22:30 ddpnet-2 ha_daemon[14595]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 48 30.972" name="Monitoring interfaces for link beat: eth1 eth0"

    2015:10:21-23:56:01 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 47 01.149" name="Executing (wait) /usr/local/bin/confd-setha mode master master_ip 198.19.250.1 slave_ip 198.19.250.2"

    2015:10:21-23:56:01 ddpnet-1 ha_daemon[27469]: id="38A0" severity="info" sys="System" sub="ha" seq="M: 48 01.450" name="Executing (nowait) /etc/init.d/ha_mode check"

    2015:10:21-23:56:01 ddpnet-1 ha_mode[32602]: calling check

    2015:10:21-23:56:01 ddpnet-1 ha_mode[32602]: check: waiting for last ha_mode done

    2015:10:21-23:56:01 ddpnet-1 ha_mode[32602]: check_ha() role=MASTER, status=ACTIVE

    2015:10:21-23:56:01 ddpnet-1 ha_mode[32602]: check done (started at 23:56:01)  [/CODE]

    

    So I think all the statuses on the primary SG125 HA tab are looking good now and this log appears as it should? Both boxes now on same current firmware. Both connected to LAN and WAN. Both daisy chained on ETH02 HA ports.

    

    I have the primary set up as Preferred Master just so whenever its back online its the main active firewall box.

    

    Based on what you see, did I solve the riddle? Fingers crossed! Thanks for ongoing help. I may end up writing a forum tutorial on this to help the next guy avoid all my dead ends.
Children
No Data