Sophos HA installation på ett ESXi system

Nu har jag inte specifikt jobbat med Sophos då den inte hade stöd för allt jag ville ha hemma, men när det gäller HA och brandväggar så kan jag mycket väl tänka mig att din approach blir fel. De brandväggar jag kommit i kontakt med har jobbat på två olika sätt. Antingen så har de en gemensam MAC adress som de turas om via (och har en individuell också) eller så har de var sin som de vid byte propagerar ut (via unsolicited ARP eller genom att broadcasta ut den).

Att ha samma MAC adress kan bli precis hur fel som helst. Mest för att switchen lär sig en port som ska ha MAC adressen och därmed kan du tappa en massa paket.
Säg att brandvägg 1 är aktiv och ska ha trafiken. Av någon orsak skickar brandvägg 2 ett packet (DNS, keepalive eller vad som helst). Då kommer brandvägg 2 att få alla inkommande paket tills brandvägg 1 hunnit prata. Därmed blir det förmodligen fullständig pankaka av ditt upplägg...

Är inte säker på att den där supporttråden verkligen handlar om att ha samma MAC på bägge enheterna aluser. Kan det verkligen vara möjligt att köra så? Det låter oerhört konstigt.

Ska själv köra HA så jag köpte statisk IP av min ISP. Känns som en vettigare lösning för då kan man köra med virtuell MAC i HA.

Säger samma som föregående talare, har inte pillat med Sophos, men har pilllat med CARP på pfSense(motsvarar en tillämpning som Cisco har för sina routrar men med någon Hot Standby Router något något förkortning).

CARP kör med olika MAC-adresser på gränssnitten som syns för maskinerna som nyttjar brandväggen/routern, men sekundär brandväggen antar primär brandväggens IP-adress när hjärtslagen slutar komma över CARP gränssnittet. Och samma sak så svarar primärbrandväggen på ARP förfrågningar om den kommer upp och således upphör sekundärbrandväggen att besvara ARP förfrågningar för just den IP-adressen.

Om Du kan köra motsvarande tcpdump på Sophos så kolla vad det är som ballar ur. Jämför olika scenario och kolla differensen mellan dom som fungerar och dom som inte fungerar.

Promiscious mode skall Du inte behöva aktivera såvida Du inte vill sniffa på hela nätverket. Blir bara onödiga paket som slår mot nätverksgränssnittet eftersom majoriteten kommer gränssnittet på brandväggen att ändå behöva förkasta.

Jo, men här verkar det som om trådskaparen inte använder samma MAC på det virtuella IPet, utan på de respektive brandväggarna.
Jag vet inte om vi missförstår varandra, men när jag snart sätter upp mitt HA-kluster med Clavister-brandväggar hemma i VMware så har de var sin egen MAC adress och en MAC adress de turas om att använda för det virtuella IPet som klustret presenterar sig med. Så tolkar jag att Sophos också jobbar, men... Problemet uppkommer om man kör DHCP då varken Sophos eller Clavister gör DHCP-förfrågan med det virtuella IPet/MAC adressen, utan DHCP körs individuellt. (Jag vet att Clavister resonerade så att om man har råd att köra i ett HA kluster så har man ocskå råd att skaffa statisk IP adress. DHCP på en brandvägg är aldrig lysande, även om man med en DynDNS-tjänst kan få en bra funktion).

Ok, jag får väl ge mig då. Jag kunde inte tänka mig att det skulle fungera att de hade samma MAC på ett interface. Jag är mest bevandrad I Clavister och de skickar "heartbeats" på samtliga interface för att den andra noden ska veta att sakerna är vid liv. Har man då samma MAC skulle man få väldigt konstiga effekter...

Känner mig för övrigt rätt laddad. Kör en standalone-brandvägg just nu pga att jag har DHCP, men första maj går jag över till HA i och med att jag får dubbla statiska IP adresser av min nya ISP. Den ena blir alltså till klustret och den andra IP adressen till en liten hårdvarubrandvägg jag har på sidan av. Vill ha en backdoor om VMware-miljön går åt h-vete.