Vorbereitung in Proxmox

• Zwei OPNsense-Installationen mit jeweils mind. 3 Netzwerkkarten
• Die Anzahl der Netzwerkkarten muss auf beiden Maschinen gleich sein
• In unserem Beispiel haben wir zusätzlich eine DMZ
• Empfehlung für beide Maschinen:
  • WAN (VLAN 1)
  • SYN (VLAN 2)
  • LAN (VLAN 3)
  • DMZ (VLAN 4)
• Am Anfang sollten so wenige Dienst wie möglich laufen

IP Adressen der Master Firewall

• em0 (WAN): 10.0.0.10/24
• em1 (SYN): 10.10.0.10/24
• em2 (LAN): 10.20.0.10/24
• em2 (DMZ): 10.30.0.10/24

IP Adressen der Backup Firewall

• em0 (WAN): 10.0.0.11/24
• em1 (SYN): 10.10.0.11/24
• em2 (LAN): 10.20.0.11/24
• em2 (DMZ): 10.30.0.11/24

Firewall Regeln

• Auf allen Schnittstellen außer dem SYN-Interface müssen CARP Pakete akzeptiert werden
• Dazu im Menü Firewall => Rules => {WAN, LAN, DMZ} eine Allow-Regel erstellen, die auf das CARP-Protokoll matcht
• Für das CARP-Interface kann man eine Standard-Allow-Regel erstellen, die alles erlaubt

Virtuelle IPs

• Die virtuellen IPs werden von den Knoten des HA-Clusters geteilt, sobald ein Ausfall erkannt wird
• Somit wird dafür gesorgt, dass die virtuelle IP immer erreichbar ist
• Die virtuelle IP wird nur auf der Master Firewall eingestellt und an die Backups mitgeteilt
• Dazu muss man im Menü Interfaces => Virtual IPs => Settings