OPNsense Wireguard CARP

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Warnung

  • Die offizielle OPNsense Dokumentation rät davon ab Wireguard im HA-Betrieb zu nutzen
  • Der Wireguard Peer tendiert dazu das falsche Interface anzusprechen, nachdem ein Host im Cluster ausgefallen ist
  • Bis OPNsense 23.7.6 würden sich alle HA-Nodes um die Verbindung zum Peer kämpfen, weil Wireguard implizit an alle Interfaces gebunden ist
  • 23.7.6 implementiert CARP vhid Tracking für Wireguard, um dieses Verhalten einzudämmen
  • High-Availability einer solchen Site-to-Site VPN funktioniert nur in eine Richtung.
  • Nur Clients des HA-Clusters behalten die Verbindung bei Ausfall. Die Gegenseite muss die Verbindung manuell reinitiieren

Netzwerkplan

Konfiguration HA-Cluster

Konfiguration Wireguard

  • Ähnlich zum Roadwarrior Setup, müssen auch hier die Instanzen und Peers angelegt werden

Opnsense-wg-ha-01.png

Opnsense-wg-ha-02.png

  • Anschließend noch der Instanz einem Interface zuordnen

Opnsense-wg-ha-03.png

Firewall Regeln

Opnsense-wg-ha-04.png

Opnsense-wg-ha-05.png

Sychronisation

Opnsense-wg-ha-06.png

Auf den Slave-Nodes müssen die Interfaces noch manuell zugeordnet werden

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=OPNsense_Wireguard_CARP&oldid=51981