Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 2660 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 8.2 HA under vSphere 5 -> WAN issues

martinh_dk
Okay, so this is probably a bit special...

I am running two virtual ASG 8.202's in HA (Hot standby) on two ESXi 5.0 hosts.
There are two WAN Uplinks - both "Cable Modem" DHCP.
Due to previous issues on the LAN I have disabled HA MACs.

The two WAN DHCP leases bind to MAC addresses.
So I have spoofed WAN MACs in VMWare - so WAN1 MAC is identical on both ASGs and WAN2 MAC is identical on both ASGs.

The setup worked fine on a combination of ESXi 4.1 and ASG 8.1.
But I have not tested failover since upgrading ASG and ESXi - until now.

When I power down the master, the slave does not bring up the two WAN interfaces, 

In the Dashboard WAN1 and WAN2 display as "State=Error" and "Link=Down".
But if I go to "Advanced" -> "Support" -> "Interfaces Table", both interfaces are listed as "up" and seem to have assigned IP-addresses.

If I power on the master, it will become active again and everything will run fine.

If I instead reboot the slave, the interfaces will come up, and everything runs fine.

I am not sure if this is a ESXi 5 issue - or an ASG 8.2 issue?
Maybe something to do with the spoofed MACs?

Any ideas about where to start looking?

Best regards
Martin


This thread was automatically locked due to age.
Parents
  • 0
    What is the configuration for the Port Group that the Ethernet Interfaces for the virtual machines are added to?

    Specifically the Forged Transmits and MAC Address Changes options available in the Port Group configuration, both of these should be set to Accept if you are using Astaro Security Gateway in a high availability configuration under ESX(i).
  • 0 in reply to peterkieser
    What is the configuration for the Port Group that the Ethernet Interfaces for the virtual machines are added to?

    Specifically the Forged Transmits and MAC Address Changes options available in the Port Group configuration, both of these should be set to Accept if you are using Astaro Security Gateway in a high availability configuration under ESX(i).



    Hello Peter,

    I have allowed Forged Transmits and MAC Address Changes on vSwitch-level.
    All port groups inherit the settings.

    I will force a failover  and mail relevant logs to Ulrich within the next hour or so.

    EDIT 13:27: Finally managed to failover and send Ulrich debug data.

    Best regards
    Martin
  • 0 in reply to martinh_dk
    Hello Peter,

    I have allowed Forged Transmits and MAC Address Changes on vSwitch-level.
    All port groups inherit the settings.

    I will force a failover  and mail relevant logs to Ulrich within the next hour or so.

    EDIT 13:27: Finally managed to failover and send Ulrich debug data.

    Best regards
    Martin


    The issue turned out to be bug in current 8.2xx release.
    (A race condition between confd, mdw and dhcp script)
    Ulrich had already addressed the problem in the upcoming 8.300 release.

    In the meantime I have received an .rpm that solved the problem for me.

    Problem solved for now.

    Thanks for the help

    /Martin
Reply
  • 0 in reply to martinh_dk
    Hello Peter,

    I have allowed Forged Transmits and MAC Address Changes on vSwitch-level.
    All port groups inherit the settings.

    I will force a failover  and mail relevant logs to Ulrich within the next hour or so.

    EDIT 13:27: Finally managed to failover and send Ulrich debug data.

    Best regards
    Martin


    The issue turned out to be bug in current 8.2xx release.
    (A race condition between confd, mdw and dhcp script)
    Ulrich had already addressed the problem in the upcoming 8.300 release.

    In the meantime I have received an .rpm that solved the problem for me.

    Problem solved for now.

    Thanks for the help

    /Martin
Children
No Data