Tengo un Cisco ASA[0] con un par de cajas Linux en la DMZ que ejecutan Keepalived y HAproxy que actúan como un par de conmutación por error de equilibrio de carga para otro par de servidores Windows, también en la DMZ. Estoy convencido de que Keepalived está funcionando correctamente. Puedo hacer ping con éxito a la dirección virtual (10.0.1.8) desde otro host en la DMZ; cuando detengo Keepalived en el maestro (10.0.1.6), algunos pings fallan antes de que la copia de seguridad (10.0.1.7) se haga cargo de la dirección virtual. Se producen algunos fallos similares cuando reinicio Keepalived en el maestro. Este otro host puede ver páginas web alojadas en los dos servidores de Windows a través de HAProxy cuando el principal o el secundario están activos.
La dirección IP virtual tiene una asignación NAT estática a una dirección externa (por ejemplo, 1.2.3.8). Cuando intento una prueba similar desde fuera del firewall, los pings a 1.2.3.8 solo funcionan cuando el servidor principal está activo; cuando detengo el servicio Keepalived en el servidor principal, los pings desde fuera del firewall fallan mientras que los pings desde dentro de la DMZ tienen éxito.
Puedo ver que la entrada de la dirección MAC para la dirección IP virtual cambia cuando paro y reinicio Keepalived en el primario, por lo que el ASA parece saber cuándo el primario y el secundario están activos. Sin embargo, parece negarse a realizar NAT en el tráfico entrante cuando el sistema operativo secundario está activo. Mi mejor suposición es que la ASA está intentando evitar que la dirección sea falsificada, pero en este caso realmente me gustaría que la ASA lo permita. No puedo entender cómo lograr esto (o por dónde empezar, en realidad). ¿Alguna sugerencia?
[0] - En realidad, son un par de ellos en una configuración de conmutación por error, pero no creo que sea relevante.