Information
Frage
Von einem FireCluster gesendeter RADIUS-Verkehr verwendet die Verwaltungs-IP des Cluster-Masters, wenn die Subnetzmaske der Cluster-Verwaltungsadressen größer ist als die Subnetzmaske der Verwaltungsschnittstelle.
Beispielsweise lautet die vertrauenswürdige Verwaltungsschnittstelle 10.0.0.1/16 und die Verwaltungs-IP-Adressen der Clustermitglieder lauten 10.0.0.2/24 und 10.0.0.3/24. Der RADIUS-Server befindet sich im vertrauenswürdigen Netzwerk. RADIUS-Verkehr, der von der Firewall ausgeht, hat die Quelladresse 10.0.0.2 oder 10.0.0.3, je nachdem, welches Mitglied der Cluster-Master ist. Wenn der RADIUS-Server so konfiguriert ist, dass er nur die Adresse 10.0.0.1 als RADIUS-Client akzeptiert, kommt es bei RADIUS-Anfragen zu einem Timeout.
Antwort
Um dieses Verhalten zu vermeiden, sollten die Verwaltungs-IP-Adressen dieselbe Subnetzmaske wie die vertrauenswürdige Schnittstelle haben. Im obigen Beispiel sollten entweder die Verwaltungs-IPs /16 oder die vertrauenswürdige Schnittstelle /24 sein.
Eine weitere Problemumgehung besteht darin, den RADIUS-Server so zu konfigurieren, dass er die IP-Adressen der Clusterverwaltung als zulässige RADIUS-Clients akzeptiert.
