OPNsense HA: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (10 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | = Vorbereitung | + | = Vorbereitung = |
* Zwei OPNsense-Installationen mit jeweils mind. 3 Netzwerkkarten | * Zwei OPNsense-Installationen mit jeweils mind. 3 Netzwerkkarten | ||
* Die Anzahl der Netzwerkkarten muss auf beiden Maschinen gleich sein | * Die Anzahl der Netzwerkkarten muss auf beiden Maschinen gleich sein | ||
* In unserem Beispiel haben wir zusätzlich eine DMZ | * In unserem Beispiel haben wir zusätzlich eine DMZ | ||
| + | ; Die Reihenfolge und Anzahl der Netzwerkschnittstellen muss gleich sein! | ||
* Empfehlung für beide Maschinen: | * Empfehlung für beide Maschinen: | ||
** WAN (VLAN 1) | ** WAN (VLAN 1) | ||
| Zeile 24: | Zeile 25: | ||
* em2 (DMZ): 10.30.0.11/24 | * em2 (DMZ): 10.30.0.11/24 | ||
| − | = Firewall Regeln = | + | = Firewall Regeln (beide Firewalls) = |
* Auf allen Schnittstellen '''außer''' dem SYN-Interface müssen CARP Pakete akzeptiert werden | * Auf allen Schnittstellen '''außer''' dem SYN-Interface müssen CARP Pakete akzeptiert werden | ||
| − | * Dazu im Menü '''Firewall => Rules => {WAN, LAN, DMZ}''' | + | * Dazu muss im Menü '''Firewall => Rules => {WAN, LAN, DMZ}''' Allow-Regeln erstellt werden, die auf das CARP-Protokoll matchen |
* Für das CARP-Interface kann man eine Standard-Allow-Regel erstellen, die alles erlaubt | * Für das CARP-Interface kann man eine Standard-Allow-Regel erstellen, die alles erlaubt | ||
| − | = Virtuelle IPs = | + | = Virtuelle IPs (Master Firewall) = |
* Die virtuellen IPs werden von den Knoten des HA-Clusters geteilt, sobald ein Ausfall erkannt wird | * Die virtuellen IPs werden von den Knoten des HA-Clusters geteilt, sobald ein Ausfall erkannt wird | ||
| Zeile 37: | Zeile 38: | ||
* Dazu muss man im Menü '''Interfaces => Virtual IPs => Settings''' wieder an allen bis auf das SYN-Interface, die eigentlich gewünschten IPs vergeben | * Dazu muss man im Menü '''Interfaces => Virtual IPs => Settings''' wieder an allen bis auf das SYN-Interface, die eigentlich gewünschten IPs vergeben | ||
* Über das '''[+]''' auf der rechten Seite muss man folgende Einträge machen: | * Über das '''[+]''' auf der rechten Seite muss man folgende Einträge machen: | ||
| − | + | ||
| + | == virtuelle WAN IP == | ||
| + | |||
** Mode CARP | ** Mode CARP | ||
** Interface: WAN | ** Interface: WAN | ||
| Zeile 45: | Zeile 48: | ||
**Advertising Frequency: 1 | **Advertising Frequency: 1 | ||
**Description: Virtual WAN IP | **Description: Virtual WAN IP | ||
| − | + | ||
| + | == virtuelle LAN IP == | ||
| + | |||
** Mode CARP | ** Mode CARP | ||
** Interface: LAN | ** Interface: LAN | ||
| Zeile 53: | Zeile 58: | ||
**Advertising Frequency: 1 | **Advertising Frequency: 1 | ||
**Description: Virtual LAN IP | **Description: Virtual LAN IP | ||
| − | + | ||
| + | == virtuelle DMZ IP == | ||
| + | |||
** Mode CARP | ** Mode CARP | ||
** Interface: DMZ | ** Interface: DMZ | ||
| Zeile 61: | Zeile 68: | ||
**Advertising Frequency: 1 | **Advertising Frequency: 1 | ||
**Description: Virtual DMZ IP | **Description: Virtual DMZ IP | ||
| + | |||
| + | = Source NAT (Master Firewall) = | ||
| + | |||
| + | * Da die virtuelle IP für ausgehende Verbindungen benutzt werden soll, muss die automatische Regelgeneration ausgeschaltet werden | ||
| + | * Im Menü '''Firewall => NAT => Outbound''' muss die Option "Manual outbound NAT rule genereation" ausgewählt werden | ||
| + | * Dann die folgenden Regeln erstellen: | ||
| + | ** Interface: WAN | ||
| + | ** Source address: LAN net | ||
| + | ** Translation / target: 10.0.0.1 (Virtual WAN IP) | ||
| + | |||
| + | = High Availability Konfiguration (Master Firewall) = | ||
| + | |||
| + | * Die eigentliche HA Einstellung erfolgt über das Menü '''System => High Availability => Settings''': | ||
| + | **Synchronize States auswählen | ||
| + | **Synchronize Interface: SYN | ||
| + | **Synchronize Peer IP: 10.0.0.11 | ||
| + | **Synchronize Config to IP: 10.0.0.11 | ||
| + | **Remote System Username: root | ||
| + | **Remote System Password: ***** | ||
| + | **Dashboard auswählen | ||
| + | **Firewall Rules auswählen | ||
| + | **Aliases auswählen | ||
| + | **NAT auswählen | ||
| + | **Virtual IPs auswählen | ||
| + | |||
| + | = High Availability Konfiguration (Backup Firewall) = | ||
| + | |||
| + | * Hier darf im Menü '''System => High Availability => Settings''' nur folgendes eingestellt werden: | ||
| + | **Synchronize States ausgewählen | ||
| + | **Synchronize Interface: SYN | ||
| + | **Synchronize Peer IP: 10.0.0.10 | ||
| + | |||
| + | = Endergebnis = | ||
| + | |||
| + | * Nachdem beide Firewalls neugestartet wurden, sollte nun der Master über die virtuelle IP ansprechbar sein | ||
| + | * Zusätzlich sollte die zweite Firewall den Status "Backup" im Menü '''System => High Availability => Status''' anzeigen | ||
| + | |||
| + | = Troubleshooting = | ||
| + | |||
| + | * High Availability Status Seite lädt nicht: Die Kommunikation zur Weboberfläche der anderen Firewall ist in irgendeinerweise blockiert | ||
Aktuelle Version vom 19. März 2024, 11:09 Uhr
Vorbereitung
- Zwei OPNsense-Installationen mit jeweils mind. 3 Netzwerkkarten
- Die Anzahl der Netzwerkkarten muss auf beiden Maschinen gleich sein
- In unserem Beispiel haben wir zusätzlich eine DMZ
- Die Reihenfolge und Anzahl der Netzwerkschnittstellen muss gleich sein!
- Empfehlung für beide Maschinen:
- WAN (VLAN 1)
- SYN (VLAN 2)
- LAN (VLAN 3)
- DMZ (VLAN 4)
- Am Anfang sollten so wenige Dienst wie möglich laufen
IP Adressen der Master Firewall
- em0 (WAN): 10.0.0.10/24
- em1 (SYN): 10.10.0.10/24
- em2 (LAN): 10.20.0.10/24
- em2 (DMZ): 10.30.0.10/24
IP Adressen der Backup Firewall
- em0 (WAN): 10.0.0.11/24
- em1 (SYN): 10.10.0.11/24
- em2 (LAN): 10.20.0.11/24
- em2 (DMZ): 10.30.0.11/24
Firewall Regeln (beide Firewalls)
- Auf allen Schnittstellen außer dem SYN-Interface müssen CARP Pakete akzeptiert werden
- Dazu muss im Menü Firewall => Rules => {WAN, LAN, DMZ} Allow-Regeln erstellt werden, die auf das CARP-Protokoll matchen
- Für das CARP-Interface kann man eine Standard-Allow-Regel erstellen, die alles erlaubt
Virtuelle IPs (Master Firewall)
- Die virtuellen IPs werden von den Knoten des HA-Clusters geteilt, sobald ein Ausfall erkannt wird
- Somit wird dafür gesorgt, dass die virtuelle IP immer erreichbar ist
- Die virtuelle IP wird nur auf der Master Firewall eingestellt und an die Backups mitgeteilt
- Dazu muss man im Menü Interfaces => Virtual IPs => Settings wieder an allen bis auf das SYN-Interface, die eigentlich gewünschten IPs vergeben
- Über das [+] auf der rechten Seite muss man folgende Einträge machen:
virtuelle WAN IP
- Mode CARP
- Interface: WAN
- Address: 10.0.0.1/24
- Virtual Password: *****
- VHID Group: 1
- Advertising Frequency: 1
- Description: Virtual WAN IP
virtuelle LAN IP
- Mode CARP
- Interface: LAN
- Address: 192.168.178.1/24
- Virtual Password: *****
- VHID Group: 2
- Advertising Frequency: 1
- Description: Virtual LAN IP
virtuelle DMZ IP
- Mode CARP
- Interface: DMZ
- Address: 172.16.0.1/24
- Virtual Password: *****
- VHID Group: 3
- Advertising Frequency: 1
- Description: Virtual DMZ IP
Source NAT (Master Firewall)
- Da die virtuelle IP für ausgehende Verbindungen benutzt werden soll, muss die automatische Regelgeneration ausgeschaltet werden
- Im Menü Firewall => NAT => Outbound muss die Option "Manual outbound NAT rule genereation" ausgewählt werden
- Dann die folgenden Regeln erstellen:
- Interface: WAN
- Source address: LAN net
- Translation / target: 10.0.0.1 (Virtual WAN IP)
High Availability Konfiguration (Master Firewall)
- Die eigentliche HA Einstellung erfolgt über das Menü System => High Availability => Settings:
- Synchronize States auswählen
- Synchronize Interface: SYN
- Synchronize Peer IP: 10.0.0.11
- Synchronize Config to IP: 10.0.0.11
- Remote System Username: root
- Remote System Password: *****
- Dashboard auswählen
- Firewall Rules auswählen
- Aliases auswählen
- NAT auswählen
- Virtual IPs auswählen
High Availability Konfiguration (Backup Firewall)
- Hier darf im Menü System => High Availability => Settings nur folgendes eingestellt werden:
- Synchronize States ausgewählen
- Synchronize Interface: SYN
- Synchronize Peer IP: 10.0.0.10
Endergebnis
- Nachdem beide Firewalls neugestartet wurden, sollte nun der Master über die virtuelle IP ansprechbar sein
- Zusätzlich sollte die zweite Firewall den Status "Backup" im Menü System => High Availability => Status anzeigen
Troubleshooting
- High Availability Status Seite lädt nicht: Die Kommunikation zur Weboberfläche der anderen Firewall ist in irgendeinerweise blockiert