Vorbereitung in Proxmox

• Zwei OPNsense-Installationen mit jeweils mind. 3 Netzwerkkarten
• Die Anzahl der Netzwerkkarten muss auf beiden Maschinen gleich sein
• In unserem Beispiel haben wir zusätzlich eine DMZ
• Empfehlung für beide Maschinen:
  • WAN (VLAN 1)
  • SYN (VLAN 2)
  • LAN (VLAN 3)
  • DMZ (VLAN 4)
• Am Anfang sollten so wenige Dienst wie möglich laufen

IP Adressen der Master Firewall

• em0 (WAN): 10.0.0.10/24
• em1 (SYN): 10.10.0.10/24
• em2 (LAN): 10.20.0.10/24
• em2 (DMZ): 10.30.0.10/24

IP Adressen der Backup Firewall

• em0 (WAN): 10.0.0.11/24
• em1 (SYN): 10.10.0.11/24
• em2 (LAN): 10.20.0.11/24
• em2 (DMZ): 10.30.0.11/24

Firewall Regeln

• Auf allen Schnittstellen außer dem SYN-Interface müssen CARP Pakete akzeptiert werden
• Dazu im Menü Firewall => Rules => {WAN, LAN, DMZ} eine Allow-Regel erstellen, die auf das CARP-Protokoll matcht
• Für das CARP-Interface kann man eine Standard-Allow-Regel erstellen, die alles erlaubt

Virtuelle IPs

• Die virtuellen IPs werden von den Knoten des HA-Clusters geteilt, sobald ein Ausfall erkannt wird
• Somit wird dafür gesorgt, dass die virtuelle IP immer erreichbar ist
• Die virtuelle IP wird nur auf der Master Firewall eingestellt und an die Backups mitgeteilt
• Dazu muss man im Menü Interfaces => Virtual IPs => Settings wieder an allen bis auf das SYN-Interface, die eigentlich gewünschten IPs vergeben
• Über das [+] auf der rechten Seite muss man folgende Einträge machen:
• virtuelle WAN IP
  • Mode CARP
  • Interface: WAN
  • Address: 10.0.0.1/24
  • Virtual Password: *****
  • VHID Group: 1
  • Advertising Frequency: 1
  • Description: Virtual WAN IP
• virtuelle LAN IP
  • Mode CARP
  • Interface: LAN
  • Address: 192.168.178.1/24
  • Virtual Password: *****
  • VHID Group: 2
  • Advertising Frequency: 1
  • Description: Virtual LAN IP