Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 2029 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Virtual-Cluster-IP cant be reached but should be

guawhitehawk
Hi,

today i wanted to modify our backup solution for our Postgres-Cluster (Hot-Standby-Master-Cluster) which uses a virtual ip that is managed by pacemaker and assigned to either of those two servers interfaces.

On the other side i have the firewall which allows connections to PG (tcp/5432) and this virtual ip but everytime i try to connect, the firewall drops the packages. when i change the virtual ip to the normal ip of the master it works.

Another point is, that the connections come from a site-2-site IPSec VPN from the Office but its allowed on all gateways and only the firewall directly before this virtual ip drops the connection but allows it when using the normal interface IP

Can someone help me find the issue here?
We are using the UTM 9.1


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    sure. this one is such a line from the firewall log:
    11:30:34 Default DROP  TCP 10.0.60.5:35258 → 10.1.30.5:5432 [SYN] len=60 ttl=62 tos=0x00 srcmac=0:12:f2:9b:5d:0 dstmac=90:e2:ba:9:25:e8


    whereas the PF Rule is this:
    Backup Srv (10.1.60.5) -> Backup-Services (Srv-Group) -> 10.1.30.5 (Host)


    The Service Group includes services for PG 5432/tcp and some others, so it should work. Also when just adding the normal IP of the master server (10.1.30.11) the rules works, but not for this virtual ip (which you can only see on the master server with "ip addr show" but not if "ifconfig eth0"
Reply
  • 0
    Hi,

    sure. this one is such a line from the firewall log:
    11:30:34 Default DROP  TCP 10.0.60.5:35258 → 10.1.30.5:5432 [SYN] len=60 ttl=62 tos=0x00 srcmac=0:12:f2:9b:5d:0 dstmac=90:e2:ba:9:25:e8


    whereas the PF Rule is this:
    Backup Srv (10.1.60.5) -> Backup-Services (Srv-Group) -> 10.1.30.5 (Host)


    The Service Group includes services for PG 5432/tcp and some others, so it should work. Also when just adding the normal IP of the master server (10.1.30.11) the rules works, but not for this virtual ip (which you can only see on the master server with "ip addr show" but not if "ifconfig eth0"
Children
No Data