4
IP-Adresse von einem auf den anderen Server
Hallo zusammen,
ich habe hier eine Firewall auf Basis von IPCop. Da die Hardware darunter sehr alt ist, bin ich gerade dabei eine zweite Firewall (als Backup) aufzusetzen, die im Notfall dann nur hochgefahren und verkabelt werden muss.
Aus dem Grund habe ich die auch EXAKT gleich konfiguriert. IP-Adresse, Hostname, Firewall-Einstellungen etc. (natürlich alles ohne sie am Netzwerk zu haben). Die Hardware ist allerdings komplett anders.
Heute wollte ich das Teil nun testen und bin auf folgendes Problem gestoßen:
Wenn ich die aktuelle Firewall vom Netz nehme (beide Netzwerkkabel raus) und die Backup-Firewall anstecke kann ich die nicht anpingen (per IP-Adresse oder DNS-Namen) so lange sie die IP der alten FW hat. Aber warum? Die IP-Adresse ist in diesem Moment selbstverständlich nur einmal im Netz vorhanden. Wenn ich der neuen FW eine "unbenutzte" IP gebe funktionierts. An was liegt das?
Das sonstige Netz besteht aus 2 W2K3-DCs, einem Exchange und einem Memberserver. Der Hostname der FW ist im DNS eingetragen und verweißt natürlich auf die IP.
Die einzige Möglichkeit die ich mir grad denken kann ist, dass in irgendeinem Cache vielleicht die MAC-Adresse der "alten" FW drin hängt und mit der IP verbunden ist.
Wahrscheinlich sehe ich gerade den Wald vor lauter Bäumen nicht.
Alsion
ich habe hier eine Firewall auf Basis von IPCop. Da die Hardware darunter sehr alt ist, bin ich gerade dabei eine zweite Firewall (als Backup) aufzusetzen, die im Notfall dann nur hochgefahren und verkabelt werden muss.
Aus dem Grund habe ich die auch EXAKT gleich konfiguriert. IP-Adresse, Hostname, Firewall-Einstellungen etc. (natürlich alles ohne sie am Netzwerk zu haben). Die Hardware ist allerdings komplett anders.
Heute wollte ich das Teil nun testen und bin auf folgendes Problem gestoßen:
Wenn ich die aktuelle Firewall vom Netz nehme (beide Netzwerkkabel raus) und die Backup-Firewall anstecke kann ich die nicht anpingen (per IP-Adresse oder DNS-Namen) so lange sie die IP der alten FW hat. Aber warum? Die IP-Adresse ist in diesem Moment selbstverständlich nur einmal im Netz vorhanden. Wenn ich der neuen FW eine "unbenutzte" IP gebe funktionierts. An was liegt das?
Das sonstige Netz besteht aus 2 W2K3-DCs, einem Exchange und einem Memberserver. Der Hostname der FW ist im DNS eingetragen und verweißt natürlich auf die IP.
Die einzige Möglichkeit die ich mir grad denken kann ist, dass in irgendeinem Cache vielleicht die MAC-Adresse der "alten" FW drin hängt und mit der IP verbunden ist.
Wahrscheinlich sehe ich gerade den Wald vor lauter Bäumen nicht.
Alsion
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 67643
Url: https://administrator.de/contentid/67643
Printed on: April 23, 2024 at 14:04 o'clock
4 Comments
Latest comment
Hallo,
Ich denke, ganu daran wird es liegen. Denn am Switch und den Endgeräten muß sich ja erstmal "rumsprechen", dass die IP auf einmal eine neue MAC hat. Kannst Du ja ganz einfach im ARP-Table nachschauen.
Eine andere Möglichkeit wäre, der neuen FW tatsächlich die MAC der alten zu verpassen.
Oder was auch sein kann, dass der Switch an dem Port auf die alte MAC "geeicht" (z.B. VLAN) ist und nur die dort zulässt (wenn es ein gemanagert ist).
Ralf
Die einzige Möglichkeit die ich mir
grad denken kann ist, dass in irgendeinem
Cache vielleicht die MAC-Adresse der
"alten" FW drin hängt und mit
der IP verbunden ist.
grad denken kann ist, dass in irgendeinem
Cache vielleicht die MAC-Adresse der
"alten" FW drin hängt und mit
der IP verbunden ist.
Ich denke, ganu daran wird es liegen. Denn am Switch und den Endgeräten muß sich ja erstmal "rumsprechen", dass die IP auf einmal eine neue MAC hat. Kannst Du ja ganz einfach im ARP-Table nachschauen.
Eine andere Möglichkeit wäre, der neuen FW tatsächlich die MAC der alten zu verpassen.
Oder was auch sein kann, dass der Switch an dem Port auf die alte MAC "geeicht" (z.B. VLAN) ist und nur die dort zulässt (wenn es ein gemanagert ist).
Ralf
Moin!
Was wäre wenn du aus den beiden Firewalls n Cluster bildest. Somit hat jede erstmal eine feste (unterschiedliche) IP-Adresse und zuästzlich eine gemeinsame Cluster IP (virtuelle IP). Falls dann die Primäre FW ausfällt, ist die Backup FW unter der gleiche IP erreichbar und müsste gleich einspringen.
Grüße
Dani
Was wäre wenn du aus den beiden Firewalls n Cluster bildest. Somit hat jede erstmal eine feste (unterschiedliche) IP-Adresse und zuästzlich eine gemeinsame Cluster IP (virtuelle IP). Falls dann die Primäre FW ausfällt, ist die Backup FW unter der gleiche IP erreichbar und müsste gleich einspringen.
Grüße
Dani
Klingt gut, aber wie mache ich das?
Soweit ich weiß läuft IPCop unter Linux. Sprich ich würde dir vorschlagen du liest erstmal ein bisschen was dazu. Den Cluster ist ein großes Thema und nicht 0815 Service.
Dann würde ich mich nebenher nach einer Software umschauen, die Clustering unterstützt. Das Ganze dann mal in einer Testumgebung ausgibig probieren und vorallem dann dokumentieren. So viel Zeit muss sein.
Wenn das alles getan ist, kannst du das Produktivsystem in Angriff nehmen.
Grüße
Dani
Dann würde ich mich nebenher nach einer Software umschauen, die Clustering unterstützt. Das Ganze dann mal in einer Testumgebung ausgibig probieren und vorallem dann dokumentieren. So viel Zeit muss sein.
Wenn das alles getan ist, kannst du das Produktivsystem in Angriff nehmen.
Grüße
Dani
