Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 5404 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HA Switch config

hetSein
Hi,

I have the following situation:
An ISP with one IP address, connected to a switch in VLAN 34, in this same VLAN I have two cables, one going to my ESX server 1 and thet other to ESX server 2. On these ESX servers I'm running UTM 9, node 1 and node 2, HA Active/Passive. And between the servers there is a heartbeat cable. 
This the WAN part, on exit there are two cables going to the switch in default VLAN connecting the LAN. I tried to depicted as good as possible [8-)]
     
.......ISP.........
.........|...........
......switch.......
.....|.......|.......
.node1--node2..
.....|.......| ......
......switch.......
.........|...........
.......LAN.........

I'm wondering how to config the switch ports, do they need to be in some kind of aggregation link?

On this moment everything is working fine on node1, but when failing over to node2 everything stops and I can't reach the UTM anymore.[:O]


This thread was automatically locked due to age.
  • 0
    Hi,

    Aggregation is only used if you want multiple ports on 1 UTM to go to a single switch.

    It's possible there is an ARP issue; but I'm not sure how that works when virtualized.
    You may be able to enable/disable MAC spoofing in the HA config; I can't remember right now.

    Barry
  • 0
    Hi,

    Check the uplink groups on the vSwitch and VLAN taggings for the networks. They must have the same configuration.

    Cheers,

    P.
  • 0
    Hi all,

    Thanks for the help. I solved the problem using mulitiple sources. I added them to one, which worked for me:

    In the CLI of the UTM (on the console) you have the do the following [1][2]

    [LIST=1]
    • 1. Set MTU on HA interface to 1500 with the command "cc set ha advanced mtu 1500" in UTM CLI, to prevent use of jumbo frames. (Will not work)
    • 2. Use a dedicated VLAN in ESXi for the two UTM HA interfaces.
    • 3. Disable virtual HA MACs with the command: "cc set ha advanced virtual_mac 0" in UTM CLI to ensure that VMs residing on same vSwitch as the passive ASG can communicate with the active UTM on other vSwitch.
    [/LIST]

    *If you ISP has you on Dynamic IP and assigned you the IP then set identical MAC address on the two UTM WAN adapters by editing Virtual Machine settings in ESXi. This can be done by editing the .vmx file. For editing you need a SSH connection. [3]

    Tip: A nice tool for SSH is MobaXterm [5]

    For setting static MAC address:

    Move to the directory where your VM's .vmx file is located:
    # cd vmfs/volumes/[store name like: datastore1]/[name-of-vm]
    Open .vmx file with a text editor, and add /edit the following fields. (Replace the MAC address field with your own and the Ethernet with the on you need to set to static MAC.)

    ethernet0.addressType = "static"
    ethernet0.checkMACAddress = "false"
    ethernet0.address = "00:50:56:xx:yy:zz"
    ethernet0.ignoreMACAddressConflict = "TRUE

    On the vSwitch (or dvSwitch) you have to change the security settings for each vSwitch/portgroup [1].

    For vSwitch got your host in Host and Clusters (ctrl+shift+H), select tab Configuration, select Networking, and in the properties of the vSwitch you can find the security setting. For dvSwitch select your dvSwitch in Networking (ctrl+shift+N), and select Manage Port Groups in the upper right corner to change the security setting. Change the following : 

    Promiscuous Mode: Accept
    MAC Address Changes: Accept
    Forged Transmits: Accept

    Note: I’m not sure if all three have to be set to Accept, I still have to test what is basically necessary. All feedback is welcome [:)] 


    Reboot every Esxi Server and all should be fine.

    I used the following sources (which I thank for the information and help!):
    [1] Sophos bulletin board - UTM9 Active-Passive HA on vmWare: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28602
    [2] Sophos bulletin board - Hot standby using 2 ESX servers - MAC problem ?!:  https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/27886
    [3] Enabling SSH: How to enable SSH remote access on VMware ESXi 5 - Ask Xmodulo
    [4] MobaXerm: MobaXterm free Xserver and tabbed SSH client for Windows
    [5]setting static MAC in esxi: How to set a static MAC address on VMware ESXi virtual machine - Ask Xmodulo
  • 0
    Hi, hetSein, and welcome to the User BB!

    Thank you for your thoughtfulness in detailing your solution.  Great contribution!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    There is one more thing to do:

    For every NIC of the Sophos VM set the following:

    ethernet0.ignoreMACAddressConflict = "TRUE"
    ethernet1.ignoreMACAddressConflict = "TRUE"
    ethernet2.ignoreMACAddressConflict = "TRUE"

    This setting can also be set an the Sophos VM:
    Options- Advanced -General - Configuration Parameters 
    ethernet0.ignoreMACAddressConflict = "TRUE"

    (https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28602)
  • 0
    Thanks for your instructions hetSein :-)

    Just configured two ESXi 6.0.0  hosts on two proliant Microservers gen8, all went great, aside from some swapped nics, I managed to find the right one with console login with root and used IFCONFIG to figure out which one was swapped on one of the hosts :-)

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v19 Architect

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?