https://wiki.ixheim.de/index.php?action=history&feed=atom&title=OPNsense_HA_Umsetzung
OPNsense HA Umsetzung - Versionsgeschichte
2026-06-29T00:07:47Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=OPNsense_HA_Umsetzung&diff=67156&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „ =Plan= {{#drawio:ha-opnsense-kit}} =Wichtig= *Auf den lan und wan Interfaces muss der Promiscuos-Modus eingestellt sein. *Sowohl als Master als auch auf der…“
2026-02-20T15:23:19Z
<p>Die Seite wurde neu angelegt: „ =Plan= {{#drawio:ha-opnsense-kit}} =Wichtig= *Auf den lan und wan Interfaces muss der Promiscuos-Modus eingestellt sein. *Sowohl als Master als auch auf der…“</p>
<p><b>Neue Seite</b></p><div><br />
<br />
=Plan=<br />
{{#drawio:ha-opnsense-kit}}<br />
=Wichtig=<br />
*Auf den lan und wan Interfaces muss der Promiscuos-Modus eingestellt sein.<br />
*Sowohl als Master als auch auf der Backup<br />
<br />
;Begründung<br />
*CARP verwendet virtuelle MAC-Adressen für die gemeinsame VIP. In virtualisierten Umgebungen werden Frames mit diesen MAC-Adressen vom Hypervisor standardmäßig verworfen, da sie nicht der echten VM-NIC zugeordnet sind. Ohne aktivierten Promiscuous-Modus erreichen CARP-Advertisements den Partner nicht, was zu Fehldetektion, unerwünschtem Failover und HA-Inkonsistenzen führt.<br />
<br />
= Vorbereitung =<br />
* Zwei OPNsense-Installationen mit jeweils mind. 3 Netzwerkkarten<br />
* Die Anzahl der Netzwerkkarten muss auf beiden Maschinen gleich sein<br />
; Die Reihenfolge und Anzahl der Netzwerkschnittstellen muss gleich sein!<br />
* Empfehlung für beide Maschinen:<br />
** WAN <br />
** SYN <br />
** LAN <br />
* Am Anfang sollten so wenige Dienst wie möglich laufen<br />
<br />
== IP Adressen der Master Firewall ==<br />
* em0 (LAN): 192.168.1.1/24<br />
* em1 (WAN): 192.168.4.X+40/24<br />
* em2 (SYN): 100.64.64.1/30<br />
<br />
== IP Adressen der Backup Firewall ==<br />
<br />
* em0 (LAN): 192.168.1.2/24<br />
* em1 (WAN): 192.168.4.X+60/24<br />
* em2 (SYN): 100.64.64.2/30<br />
<br />
= Firewall Regeln (beide Firewalls) =<br />
<br />
* Auf allen Schnittstellen '''außer''' dem SYN-Interface muss das Protokoll CARP akzeptiert werden<br />
* Dazu muss im Menü '''Firewall => Rules => {WAN, LAN}''' Allow-Regeln erstellt werden, die auf das CARP-Protokoll matchen<br />
* Für das SYN-Interface kann man eine Standard-Allow-Regel erstellen, die alles erlaubt<br />
<br />
= Virtuelle IPs (Master Firewall) =<br />
<br />
* Die virtuellen IPs werden von den Knoten des HA-Clusters geteilt, sobald ein Ausfall erkannt wird<br />
* Somit wird dafür gesorgt, dass die virtuelle IP immer erreichbar ist<br />
* Die virtuelle IP wird '''nur''' auf der Master Firewall eingestellt und an die Backups mitgeteilt<br />
* Dazu muss man im Menü '''Interfaces => Virtual IPs => Settings''' wieder an allen bis auf das SYN-Interface, die eigentlich gewünschten IPs vergeben<br />
* Über das '''[+]''' auf der rechten Seite muss man folgende Einträge machen:<br />
<br />
== virtuelle WAN IP ==<br />
{| class="wikitable"<br />
! Parameter !! Wert<br />
|-<br />
| Mode || CARP<br />
|-<br />
| Interface || WAN<br />
|-<br />
| Address || 192.168.4.213/24<br />
|-<br />
| Virtual Password || radler<br />
|-<br />
| VHID Group || 213<br />
|-<br />
| Advertising Frequency || 1<br />
|-<br />
| Description || Virtual WAN IP<br />
|}<br />
<br />
== virtuelle LAN IP ==<br />
{| class="wikitable"<br />
! Parameter !! Wert<br />
|-<br />
| Mode || CARP<br />
|-<br />
| Interface || LAN<br />
|-<br />
| Address || 192.168.1.3/24<br />
|-<br />
| Virtual Password || radler<br />
|-<br />
| VHID Group || 2<br />
|-<br />
| Advertising Frequency || 1<br />
|-<br />
| Description || Virtual LAN IP<br />
|}<br />
<br />
= Source NAT (Master Firewall) =<br />
<br />
* Da die virtuelle IP für ausgehende Verbindungen benutzt werden soll, muss die automatische Regelgeneration ausgeschaltet werden<br />
* Im Menü '''Firewall => NAT => Outbound''' muss die Option "Manual outbound NAT rule genereation" ausgewählt werden<br />
* Dann die folgenden Regeln erstellen:<br />
** Interface: WAN<br />
** Source address: LAN net<br />
** Translation / target: 192.168.4.213/24 (Virtual WAN IP)<br />
<br />
= High Availability Konfiguration (Master Firewall) =<br />
<br />
* Die eigentliche HA Einstellung erfolgt über das Menü '''System => High Availability => Settings''':<br />
{| class="wikitable"<br />
! Parameter !! Wert<br />
|-<br />
| Synchronize all states via || SYN<br />
|-<br />
| Sync compatibility || OPNsense 24.7 or above<br />
|-<br />
| Synchronize Peer IP || 100.64.64.2<br />
|-<br />
| Synchronize Config || 100.64.64.2<br />
|-<br />
| Verify peer || deaktiviert<br />
|-<br />
| Remote System Username || root<br />
|-<br />
| Remote System Password || 123Start$<br />
|-<br />
| Services || Aliases, Firewall Rules, NAT, Virtual IPs<br />
|}<br />
<br />
= High Availability Konfiguration (Backup Firewall) =<br />
<br />
* Hier darf im Menü '''System => High Availability => Settings''' nur folgendes eingestellt werden:<br />
{| class="wikitable"<br />
! Parameter !! Wert<br />
|-<br />
| Synchronize all states via || SYN<br />
|-<br />
| Sync compatibility || OPNsense 24.7 or above<br />
|-<br />
| Synchronize Peer IP || 100.64.64.1<br />
|-<br />
| Synchronize Config || leer<br />
|-<br />
| Verify peer || deaktiviert<br />
|-<br />
| Remote System Username || leer<br />
|-<br />
| Remote System Password || leer<br />
|-<br />
| Services || Nothing selected<br />
|}<br />
<br />
= Endergebnis =<br />
==Master==<br />
*System<br />
**High Availability: <br />
***Status<br />
<br />
{| class="wikitable"<br />
! Service !! Description<br />
|-<br />
| configd || System Configuration Daemon<br />
|-<br />
| cron || Cron<br />
|-<br />
| hostwatch || Host discovery service<br />
|-<br />
| login || Users and Groups<br />
|-<br />
| ntpd || Network Time Daemon<br />
|-<br />
| openssh || Secure Shell Daemon<br />
|-<br />
| pf || Packet Filter<br />
|-<br />
| routing || System routing<br />
|-<br />
| sysctl || System tunables<br />
|-<br />
| syslog-ng || Syslog-ng Daemon<br />
|-<br />
| unbound || Unbound DNS<br />
|-<br />
| webgui || Web GUI<br />
|}<br />
<br />
==Slave==<br />
*System<br />
**High Availability: <br />
***Status<br />
Die Meldung auf der Backup-Firewall kann ignoriert werden, da diese nur passiv empfängt und die leeren XMLRPC-Felder daher fälschlicherweise als "unvollständig" markiert werden. Solange die Master-Firewall auf Version 24.7 eingestellt ist und die Daten erfolgreich überträgt, arbeitet der Cluster technisch einwandfrei.<br />
=Debugging=<br />
==XLLRPC==<br />
*Um den erfolgreichen Sync auf der Master-Firewall zu prüfen, gehst du so vor:<br />
*System<br />
**Log Files<br />
****General.<br />
*Gib oben im Filter-Feld den Begriff '''xmlrpc''' ein.<br />
Suche nach einem Eintrag wie: [OK] Configuration synchronized to '''https://100.64.64.2:443.'''<br />
==Netzwerkschnittstellen==<br />
===em0===<br />
;Master<br />
em0: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500<br />
description: LAN (lan)<br />
options=48500b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWFILTER,VLAN_HWTSO,HWSTATS,MEXTPG><br />
ether 08:00:27:c4:a2:6f<br />
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255<br />
'''inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255 vhid 2'''<br />
'''carp: MASTER vhid 2 advbase 1 advskew 0'''<br />
'''peer 224.0.0.18 peer6 ff02::12'''<br />
media: Ethernet autoselect (1000baseT <full-duplex>)<br />
status: active<br />
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL><br />
<br />
em1: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500<br />
description: WAN (wan)<br />
options=48500b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWFILTER,VLAN_HWTSO,HWSTATS,MEXTPG><br />
ether 08:00:27:61:6f:6d<br />
inet 192.168.4.53 netmask 0xffffff00 broadcast 192.168.4.255<br />
'''inet 192.168.4.213 netmask 0xffffff00 broadcast 192.168.4.255 vhid 213'''<br />
'''carp: MASTER vhid 213 advbase 1 advskew 0'''<br />
'''peer 224.0.0.18 peer6 ff02::12'''<br />
media: Ethernet autoselect (1000baseT <full-duplex>)<br />
status: active<br />
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL><br />
;Backup<br />
em0: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500 <br />
description: LAN (lan)<br />
options=48500b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWFILTER,VLAN_HWTSO,HWSTATS,MEXTPG><br />
ether 08:00:27:1c:44:8b<br />
inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255<br />
'''inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255 vhid 2'''<br />
'''carp: BACKUP vhid 2 advbase 1 advskew 100'''<br />
'''peer 224.0.0.18 peer6 ff02::12'''<br />
media: Ethernet autoselect (1000baseT <full-duplex>)<br />
status: active<br />
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL><br />
<br />
em1: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500<br />
description: WAN (wan)<br />
options=48500b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWFILTER,VLAN_HWTSO,HWSTATS,MEXTPG><br />
ether 08:00:27:95:9b:4b<br />
inet 192.168.4.73 netmask 0xffffff00 broadcast 192.168.4.255<br />
'''inet 192.168.4.213 netmask 0xffffff00 broadcast 192.168.4.255 vhid 213'''<br />
'''carp: BACKUP vhid 213 advbase 1 advskew 100'''<br />
'''peer 224.0.0.18 peer6 ff02::12'''<br />
media: Ethernet autoselect (1000baseT <full-duplex>)<br />
status: active<br />
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL><br />
==Wird Synchronisiert?==<br />
;Master<br />
*System<br />
**High Availability<br />
***Status<br />
****Synchronize and reconfigure all (Push)<br />
;Backup<br />
*tail -f /var/log/configd/latest.log <br />
Hier sollteman die Übertragung sehen.</div>
Thomas.will