HA Switch config

Hi all,

Thanks for the help. I solved the problem using mulitiple sources. I added them to one, which worked for me:

In the CLI of the UTM (on the console) you have the do the following [1][2]

[LIST=1]

• 1. Set MTU on HA interface to 1500 with the command "cc set ha advanced mtu 1500" in UTM CLI, to prevent use of jumbo frames. (Will not work)
  
• 2. Use a dedicated VLAN in ESXi for the two UTM HA interfaces.
  
• 3. Disable virtual HA MACs with the command: "cc set ha advanced virtual_mac 0" in UTM CLI to ensure that VMs residing on same vSwitch as the passive ASG can communicate with the active UTM on other vSwitch.
  

[/LIST]

*If you ISP has you on Dynamic IP and assigned you the IP then set identical MAC address on the two UTM WAN adapters by editing Virtual Machine settings in ESXi. This can be done by editing the .vmx file. For editing you need a SSH connection. [3]

Tip: A nice tool for SSH is MobaXterm [5]

For setting static MAC address:

Move to the directory where your VM's .vmx file is located:
# cd vmfs/volumes/[store name like: datastore1]/[name-of-vm]
Open .vmx file with a text editor, and add /edit the following fields. (Replace the MAC address field with your own and the Ethernet with the on you need to set to static MAC.)

ethernet0.addressType = "static"
ethernet0.checkMACAddress = "false"
ethernet0.address = "00:50:56:xx:yy:zz"
ethernet0.ignoreMACAddressConflict = "TRUE

On the vSwitch (or dvSwitch) you have to change the security settings for each vSwitch/portgroup [1].

For vSwitch got your host in Host and Clusters (ctrl+shift+H), select tab Configuration, select Networking, and in the properties of the vSwitch you can find the security setting. For dvSwitch select your dvSwitch in Networking (ctrl+shift+N), and select Manage Port Groups in the upper right corner to change the security setting. Change the following : 

Promiscuous Mode: Accept
MAC Address Changes: Accept
Forged Transmits: Accept

Note: I’m not sure if all three have to be set to Accept, I still have to test what is basically necessary. All feedback is welcome [:)] 


Reboot every Esxi Server and all should be fine.

I used the following sources (which I thank for the information and help!):
[1] Sophos bulletin board - UTM9 Active-Passive HA on vmWare: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28602
[2] Sophos bulletin board - Hot standby using 2 ESX servers - MAC problem ?!:  https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/27886
[3] Enabling SSH: How to enable SSH remote access on VMware ESXi 5 - Ask Xmodulo
[4] MobaXerm: MobaXterm free Xserver and tabbed SSH client for Windows
[5]setting static MAC in esxi: How to set a static MAC address on VMware ESXi virtual machine - Ask Xmodulo

Hi all,

Thanks for the help. I solved the problem using mulitiple sources. I added them to one, which worked for me:

In the CLI of the UTM (on the console) you have the do the following [1][2]

[LIST=1]

• 1. Set MTU on HA interface to 1500 with the command "cc set ha advanced mtu 1500" in UTM CLI, to prevent use of jumbo frames. (Will not work)
  
• 2. Use a dedicated VLAN in ESXi for the two UTM HA interfaces.
  
• 3. Disable virtual HA MACs with the command: "cc set ha advanced virtual_mac 0" in UTM CLI to ensure that VMs residing on same vSwitch as the passive ASG can communicate with the active UTM on other vSwitch.
  

[/LIST]

*If you ISP has you on Dynamic IP and assigned you the IP then set identical MAC address on the two UTM WAN adapters by editing Virtual Machine settings in ESXi. This can be done by editing the .vmx file. For editing you need a SSH connection. [3]

Tip: A nice tool for SSH is MobaXterm [5]

For setting static MAC address:

Move to the directory where your VM's .vmx file is located:
# cd vmfs/volumes/[store name like: datastore1]/[name-of-vm]
Open .vmx file with a text editor, and add /edit the following fields. (Replace the MAC address field with your own and the Ethernet with the on you need to set to static MAC.)

ethernet0.addressType = "static"
ethernet0.checkMACAddress = "false"
ethernet0.address = "00:50:56:xx:yy:zz"
ethernet0.ignoreMACAddressConflict = "TRUE

On the vSwitch (or dvSwitch) you have to change the security settings for each vSwitch/portgroup [1].

For vSwitch got your host in Host and Clusters (ctrl+shift+H), select tab Configuration, select Networking, and in the properties of the vSwitch you can find the security setting. For dvSwitch select your dvSwitch in Networking (ctrl+shift+N), and select Manage Port Groups in the upper right corner to change the security setting. Change the following : 

Promiscuous Mode: Accept
MAC Address Changes: Accept
Forged Transmits: Accept

Note: I’m not sure if all three have to be set to Accept, I still have to test what is basically necessary. All feedback is welcome [:)] 


Reboot every Esxi Server and all should be fine.

I used the following sources (which I thank for the information and help!):
[1] Sophos bulletin board - UTM9 Active-Passive HA on vmWare: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28602
[2] Sophos bulletin board - Hot standby using 2 ESX servers - MAC problem ?!:  https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/27886
[3] Enabling SSH: How to enable SSH remote access on VMware ESXi 5 - Ask Xmodulo
[4] MobaXerm: MobaXterm free Xserver and tabbed SSH client for Windows
[5]setting static MAC in esxi: How to set a static MAC address on VMware ESXi virtual machine - Ask Xmodulo