Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 2665 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 8.2 HA under vSphere 5 -> WAN issues

martinh_dk
Okay, so this is probably a bit special...

I am running two virtual ASG 8.202's in HA (Hot standby) on two ESXi 5.0 hosts.
There are two WAN Uplinks - both "Cable Modem" DHCP.
Due to previous issues on the LAN I have disabled HA MACs.

The two WAN DHCP leases bind to MAC addresses.
So I have spoofed WAN MACs in VMWare - so WAN1 MAC is identical on both ASGs and WAN2 MAC is identical on both ASGs.

The setup worked fine on a combination of ESXi 4.1 and ASG 8.1.
But I have not tested failover since upgrading ASG and ESXi - until now.

When I power down the master, the slave does not bring up the two WAN interfaces, 

In the Dashboard WAN1 and WAN2 display as "State=Error" and "Link=Down".
But if I go to "Advanced" -> "Support" -> "Interfaces Table", both interfaces are listed as "up" and seem to have assigned IP-addresses.

If I power on the master, it will become active again and everything will run fine.

If I instead reboot the slave, the interfaces will come up, and everything runs fine.

I am not sure if this is a ESXi 5 issue - or an ASG 8.2 issue?
Maybe something to do with the spoofed MACs?

Any ideas about where to start looking?

Best regards
Martin


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to da_merlin
    Do you have preempt mode set?

    VMware rejects by default that two systems use the same MAC address.
    Do you have that validation deactivated?

    Cheers
     Ulrich


    Hello Ulrich,

    Preempt? Is that not related to Active/Active cluster?
    I cannot seem to find the setting under my HA settings. (Hot Standby).

    I have the ignoreMACAddressConflict = "true" set for all interfaces in the VMWare vmx configuration files for the two ASGs

    I am unsure if there are other ways to allow duplicate MACs in ESXi?

    Also, I tend to think that it may not be an ESXi but an ASG issue?

    I tried to leave the ASG until the lease for WAN1 expired - and it actually renewed the lease without problems.
    But both interfaces are still displayed as "Down" and "Error" in Dashboard - and no traffic besides DCHP is passed through the WAN1 interface.
    So some part of the ASG must not recognize that the interface is up and running?

    A manual renew on WAN1 from ASG still fixes the problem - for WAN1
    But then WAN2 stops passing traffic, until I have manually renewed DHCP lease on that interface as well.
    After 2x manual renew both interfaces are working - and they display as "Up".

    What do you think?

    Best regards
    Martin