PfSense HA Sync не работает (Ошибка: Время операции истекло)

Содержание

Вопрос или проблема
Ответ или решение
Проблемы с синхронизацией в pfSense HA: Ошибка "Timeout"
1. Проверка настроек сетевого интерфейса
2. Порт HTTPS и XMLRPC
3. Включение и проверка службы SSL
4. Проверка версий pfSense и журналов
5. Diagnostics и Testing
6. Учёт других факторов

Вопрос или проблема

Я настроил HA окружение прямо сейчас. Всё работает хорошо, за исключением синхронизации настроек.

Синхронизация интерфейсов активна, и синхронизация состояния настроена на обоих межсетевых экранах. CARP VIP работает, синхронизация состояния также успешна. Я могу пинговать один межсетевой экран с другого и наоборот через Sync-Net.

Правила межсетевого экрана на вкладке синхронизации: Разрешить любые
Оба межсетевых экрана на HTTPS Порте 444
Оба межсетевых экрана на версии 2.7.2-RELEASE
Оба межсетевых экрана имеют точно такие же интерфейсы

Мастер PF: 172.22.1.2
Вторичный PF: 172.22.1.3

Syslog Мастер PF:

Nov 16 15:54:22     kernel      carp: понижен с 0 до 0 (ошибка массовой синхронизации pfsync)
Nov 16 15:54:01     php-fpm     44568   /rc.filter_synchronize: Версию конфигурации программного обеспечения pfSense другого члена не удалось определить. Пропуск синхронизации, чтобы избежать возникновения проблемы!
Nov 16 15:54:01     php-fpm     44568   /rc.filter_synchronize: XMLRPC версия: -- 23.3
Nov 16 15:54:01     php-fpm     44568   /rc.filter_synchronize: Найдено новое предупреждение: Произошла ошибка связи при попытке вызвать метод XMLRPC host_firmware_version: Не удается подключиться к tls://172.22.1.3:444. Ошибка: Время операции вышло
Nov 16 15:54:01     php-fpm     44568   /rc.filter_synchronize: Произошла ошибка связи при попытке вызвать метод XMLRPC host_firmware_version: Не удается подключиться к tls://172.22.1.3:444. Ошибка: Время операции вышло
Nov 16 15:53:51     php-fpm     44568   /rc.filter_synchronize: Начало синхронизации данных XMLRPC к https://172.22.1.3:444/xmlrpc.php.

Syslog на Вторичном:

Nov 16 15:49:33     kernel      carp: понижен с 0 до 0 (ошибка массовой синхронизации pfsync)
Nov 16 15:48:29     php-fpm     46926   /system_hasync.php: Завершение настройки параметров CARP...
Nov 16 15:48:29     php-fpm     46926   /system_hasync.php: pfsync выполнен за 1 секунду.
Nov 16 15:48:28     kernel      carp: понижен с 0 до 0 (начало массовой синхронизации pfsync)
Nov 16 15:48:28     php-fpm     46926   /system_hasync.php: ожидание pfsync...
Nov 16 15:48:28     check_reload_status     428     Синхронизация межсетевого экрана

Я читал, что мне нужно отключить DNS Resolver: та же проблема. Если я уберу галочки со всех опций синхронизации и попробую просто синхронизировать, например, “Правила межсетевого экрана”: та же проблема.

Есть идеи?

Ответ или решение

Проблемы с синхронизацией в pfSense HA: Ошибка "Timeout"

Настройка высокодоступной (HA) среды с использованием pfSense может вызывать различные проблемы, особенно на этапе синхронизации конфигураций между активным и резервным узлом. На основании предоставленной информации, вы столкнулись с ошибкой синхронизации, в то время как CARP VIP продолжает работать корректно. Давайте разберем возможные причины и методы их устранения.

1. Проверка настроек сетевого интерфейса

Убедитесь, что вы настроили интерфейсы синхронизации (Sync Interfaces) правильно. Поскольку указано, что интерфейсы находятся в рабочем состоянии и доступны для пинга, необходимо убедиться, что оба узла могут обмениваться данными через этот интерфейс.

Проверка маршрутизации: Убедитесь, что маршруты корректно настроены на обоих узлах для синхронизационной сети (Sync-Net).
Firewall Rules: Несмотря на то, что у вас установлены правила «Allow any» для синхронизации, стоит проверить, включены ли на уровне операционной системы (например, в pfTables) необходимые разрешения для синхронизации.

2. Порт HTTPS и XMLRPC

Судя по приведенным логам, на основном файрволе вы получаете ошибки соединения с узлом резервного файрвола на порту 444. Необходимо проверить следующее:

Проверка доступности порта: Убедитесь в том, что на резервном узле порт 444 действительно открыт и слушает. Используйте команду netstat для проверки:
```
netstat -an | grep 444
```
Настройки брандмауэра и NAT: Если вы используете NAT, то необходимо проверить, есть ли соответствующие трансляции на уровне брандмауэра.

3. Включение и проверка службы SSL

Так как ошибка включает в себя tls://172.22.1.3:444, убедитесь, что на обоих узлах включены корректные сертификаты SSL для HTTPS. Попробуйте временно отключить SSL (изменив настройки на HTTP), чтобы проверить, будет ли проблема сохраняться.

4. Проверка версий pfSense и журналов

Вы упоминаете, что оба узла работают на версии 2.7.2-RELEASE. Важно убедиться, что версии совпадают не только с точки зрения номера, но и по подверсии и патчам:

Путь к настройкам "Diagnostics -> Status -> System", чтобы проверить, не указаны ли какие-либо проблемы с версиями.

5. Diagnostics и Testing

В случае, если проблема сохраняется, рекомендуем выполнить следующие шаги:

Перезапуск услуг: Перезапустите службы pfsync и XMLRPC на обоих файрволах.
Лог-файлы: Проанализируйте log-файлы на наличие других ошибок или предупреждений, которые могут указывать на скрытые проблемы.
Проверка DNS Resolver: Вы упомянули, что деактивация DNS Resolver не помогла. Убедитесь, что другие службы не создают конфликты.

6. Учёт других факторов

Наконец, иногда бывают проблемы, которые не так очевидны, как конфигурация. Убедитесь, что:

Аппаратные компоненты (например, сетевые карты) на обоих узлах идентичны.
Версии пакетов и плагинов pfSense синхронизированы и совместимы.

С учетом изложенного, предложенные шаги и рекомендации могут помочь диагностировать и устранить проблему с синхронизацией в HA-среде pfSense. Если же вы все еще сталкиваетесь с ошибкой "Operation timed out", возможно, имеет смысл обратиться в службу поддержки pfSense или на специализированные форумы, предоставив подробную информацию о вашей конфигурации и проведенных тестах.