OPNsense HA KIT: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
=Plan= | =Plan= | ||
{{#drawio:ha-opnsense-kit}} | {{#drawio:ha-opnsense-kit}} | ||
| − | + | =Wichtig= | |
| − | + | *Auf den lan und wan Interfaces muss der Promiscuos-Modus eingestellt sein. | |
| + | *Sowohl als Master als auch auf der Bacup | ||
= Vorbereitung = | = Vorbereitung = | ||
* Zwei OPNsense-Installationen mit jeweils mind. 3 Netzwerkkarten | * Zwei OPNsense-Installationen mit jeweils mind. 3 Netzwerkkarten | ||
* Die Anzahl der Netzwerkkarten muss auf beiden Maschinen gleich sein | * Die Anzahl der Netzwerkkarten muss auf beiden Maschinen gleich sein | ||
| − | |||
; Die Reihenfolge und Anzahl der Netzwerkschnittstellen muss gleich sein! | ; Die Reihenfolge und Anzahl der Netzwerkschnittstellen muss gleich sein! | ||
* Empfehlung für beide Maschinen: | * Empfehlung für beide Maschinen: | ||
| Zeile 27: | Zeile 27: | ||
= Firewall Regeln (beide Firewalls) = | = Firewall Regeln (beide Firewalls) = | ||
| − | * Auf allen Schnittstellen '''außer''' dem SYN-Interface | + | * Auf allen Schnittstellen '''außer''' dem SYN-Interface muss das Protokoll CARP akzeptiert werden |
* Dazu muss im Menü '''Firewall => Rules => {WAN, LAN}''' Allow-Regeln erstellt werden, die auf das CARP-Protokoll matchen | * Dazu muss im Menü '''Firewall => Rules => {WAN, LAN}''' Allow-Regeln erstellt werden, die auf das CARP-Protokoll matchen | ||
| − | * Für das | + | * Für das SYN-Interface kann man eine Standard-Allow-Regel erstellen, die alles erlaubt |
= Virtuelle IPs (Master Firewall) = | = Virtuelle IPs (Master Firewall) = | ||
| Zeile 45: | Zeile 45: | ||
** Address: 192.168.4.X+20/24 | ** Address: 192.168.4.X+20/24 | ||
**Virtual Password: ***** | **Virtual Password: ***** | ||
| − | **VHID Group: | + | **VHID Group: X+20 |
**Advertising Frequency: 1 | **Advertising Frequency: 1 | ||
**Description: Virtual WAN IP | **Description: Virtual WAN IP | ||
| Zeile 66: | Zeile 66: | ||
** Interface: WAN | ** Interface: WAN | ||
** Source address: LAN net | ** Source address: LAN net | ||
| − | ** Translation / target: | + | ** Translation / target: 192.168.4.X+20/24 (Virtual WAN IP) |
= High Availability Konfiguration (Master Firewall) = | = High Availability Konfiguration (Master Firewall) = | ||
| Zeile 73: | Zeile 73: | ||
**Synchronize States auswählen | **Synchronize States auswählen | ||
**Synchronize Interface: SYN | **Synchronize Interface: SYN | ||
| − | **Synchronize Peer IP: | + | **Synchronize Peer IP: 100.64.64.2 |
| − | **Synchronize Config to IP: | + | **Synchronize Config to IP: 100.64.64.2 |
**Remote System Username: root | **Remote System Username: root | ||
**Remote System Password: ***** | **Remote System Password: ***** | ||
| Zeile 88: | Zeile 88: | ||
**Synchronize States ausgewählen | **Synchronize States ausgewählen | ||
**Synchronize Interface: SYN | **Synchronize Interface: SYN | ||
| − | **Synchronize Peer IP: | + | **Synchronize Peer IP: 100.64.64.1 |
= Endergebnis = | = Endergebnis = | ||
Aktuelle Version vom 21. Februar 2025, 09:06 Uhr
Plan
![Bearbeiten](javascript:editDrawio("79242320", "ha-opnsense-kit.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Wichtig
- Auf den lan und wan Interfaces muss der Promiscuos-Modus eingestellt sein.
- Sowohl als Master als auch auf der Bacup
Vorbereitung
- Zwei OPNsense-Installationen mit jeweils mind. 3 Netzwerkkarten
- Die Anzahl der Netzwerkkarten muss auf beiden Maschinen gleich sein
- Die Reihenfolge und Anzahl der Netzwerkschnittstellen muss gleich sein!
- Empfehlung für beide Maschinen:
- WAN
- SYN
- LAN
- Am Anfang sollten so wenige Dienst wie möglich laufen
IP Adressen der Master Firewall
- em0 (LAN): 172.19.X+20.1/24
- em1 (WAN): 192.168.4.X+40/24
- em2 (SYN): 100.64.64.1/30
IP Adressen der Backup Firewall
- em0 (LAN): 172.19.X+20.2/24
- em1 (WAN): 192.168.4.X+60/24
- em2 (SYN): 100.64.64.2/30
Firewall Regeln (beide Firewalls)
- Auf allen Schnittstellen außer dem SYN-Interface muss das Protokoll CARP akzeptiert werden
- Dazu muss im Menü Firewall => Rules => {WAN, LAN} Allow-Regeln erstellt werden, die auf das CARP-Protokoll matchen
- Für das SYN-Interface kann man eine Standard-Allow-Regel erstellen, die alles erlaubt
Virtuelle IPs (Master Firewall)
- Die virtuellen IPs werden von den Knoten des HA-Clusters geteilt, sobald ein Ausfall erkannt wird
- Somit wird dafür gesorgt, dass die virtuelle IP immer erreichbar ist
- Die virtuelle IP wird nur auf der Master Firewall eingestellt und an die Backups mitgeteilt
- Dazu muss man im Menü Interfaces => Virtual IPs => Settings wieder an allen bis auf das SYN-Interface, die eigentlich gewünschten IPs vergeben
- Über das [+] auf der rechten Seite muss man folgende Einträge machen:
virtuelle WAN IP
- Mode CARP
- Interface: WAN
- Address: 192.168.4.X+20/24
- Virtual Password: *****
- VHID Group: X+20
- Advertising Frequency: 1
- Description: Virtual WAN IP
virtuelle LAN IP
- Mode CARP
- Interface: LAN
- Address: 172.19.X+20.3/24
- Virtual Password: *****
- VHID Group: 2
- Advertising Frequency: 1
- Description: Virtual LAN IP
Source NAT (Master Firewall)
- Da die virtuelle IP für ausgehende Verbindungen benutzt werden soll, muss die automatische Regelgeneration ausgeschaltet werden
- Im Menü Firewall => NAT => Outbound muss die Option "Manual outbound NAT rule genereation" ausgewählt werden
- Dann die folgenden Regeln erstellen:
- Interface: WAN
- Source address: LAN net
- Translation / target: 192.168.4.X+20/24 (Virtual WAN IP)
High Availability Konfiguration (Master Firewall)
- Die eigentliche HA Einstellung erfolgt über das Menü System => High Availability => Settings:
- Synchronize States auswählen
- Synchronize Interface: SYN
- Synchronize Peer IP: 100.64.64.2
- Synchronize Config to IP: 100.64.64.2
- Remote System Username: root
- Remote System Password: *****
- Dashboard auswählen
- Firewall Rules auswählen
- Aliases auswählen
- NAT auswählen
- Virtual IPs auswählen
High Availability Konfiguration (Backup Firewall)
- Hier darf im Menü System => High Availability => Settings nur folgendes eingestellt werden:
- Synchronize States ausgewählen
- Synchronize Interface: SYN
- Synchronize Peer IP: 100.64.64.1
Endergebnis
- Nachdem beide Firewalls neugestartet wurden, sollte nun der Master über die virtuelle IP ansprechbar sein
- Zusätzlich sollte die zweite Firewall den Status "Backup" im Menü System => High Availability => Status anzeigen