OPNsense Forum
International Forums => German - Deutsch => Topic started by: Dunuin on February 23, 2021, 01:24:16 pm
-
Hi,
Ich habe da mal eine Verständnisfrage zu den Virtuellen IPs.
Wenn ich 2 OPNsenses habe die im HA fungieren, dann haben ja beide OPNsenses jeweils eine identische virtuelle IP und eine unterschiedliche physikalische IP.
Und irgendwie sorgt dann MAC Spoofing noch dafür, dass da virtuelle IPs und physikalische IPs unterschiedliche MACs haben, obwohl beide die selbe NIC nutzen.
Meine Fritzbox kommt darauf aber nicht wirklich klar...
Die beiden virtuellen IP haben die normalen einmaligen MACs der NICs:
FE:41:DC:03:E2:67 = 192.168.0.4
00:A0:98:6F:54:71 = 192.168.0.4
Die beiden physikalischen IPs haben aber eine identische MAC gespooft bekommen:
00:00:5E:00:01:01 = 192.168.0.2
00:00:5E:00:01:01 = 192.168.0.3
Ich kann zwar über die beiden physikalischen IPs auf die GUI der beiden OPNsenses zugreifen, aber wie soll ich da bitte Port-Forwards oder Exposed Hosts auf der Fritzbox einstellen, dass da die die virtuellen IPs auch von dem Internet aus erreichbar sind?
Die Fritzbox teilt Port-Forwards/Exposed Host anhand der MAC zu und nicht anhand der IP. Wenn ich die virtuelle IP der ersten OPNsense als Exposed Host einstelle, dann ist automatisch immer die OPNsense mit der MAC "FE:41:DC:03:E2:67" der exposed Host. Die Fritzbox erlaubt es auch nicht, dass man da einen zweiten Exposed Host erstellen darf. Genau so wenig darf man Port-Forwards des selben Ports zu zwei unterschiedlichen Hosts durchleiten. Damit auch die Backup-OPNsense im Ernstfall Traffic aus dem Internet annehmen kann, müsste ich ja eigentlich noch die MAC der anderen virtuellen IP irgendwie in die Fritzbox kommen. Wenn da immer nur eine MAC als Exposed Host geht, dann könnte die zweite OPNsense ja nie aus dem Internet erreicht werden, selbst wenn die erste OPNsense ausfällt.
Außerdem ist das schon sehr merkwürdig, dass sich da die beiden physikalischen IPs eine MAC teilen.
Das bringt mein Netz glaube ich teilweise zum Spinnen, wenn da zwei unteschiedliche Hosts mit der selben MAC unterwegs sind. Bei der Backup-OPNsense ist z.B. immer nach ein paar Minuten das WebUI nicht mehr erreichbar ("ERR_SSL_PROTOCOL_ERROR") wenn auch die Master-OPNsense gleichzeitig eingeschaltet ist.
Ich muss dann immer wieder über "System -> HA -> Status -> Restart all" auf der MAster-OPNsense the Diesnte auf der Backup-OPNsense neu starten, damit dessen WebUI wieder kurz erreichbar ist.
Für mich macht das alles kein Sinn, außer OPNsense hat da einen Fehler und statt den physischen IPs sollten eigentlich die virtuellen IPs ein MAC Spoofing bekommen. Dann wäre die MAC beider virtuellen IPs identisch und die Fritzbox hätte auch kein Problem mehr mit dem Exposed Host, weil ja dann beide OPNsenses als eine einztige OPNsense erkannt werden würden.
Edit:
vtnet1 aus der ersten OPNsense:
vtnet1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=800a8<VLAN_MTU,JUMBO_MTU,VLAN_HWCSUM,LINKSTATE>
ether fe:41:dc:03:e2:67
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
inet 192.168.0.4 netmask 0xffffff00 broadcast 192.168.0.255 vhid 1
inet6 xxx%vtnet1 prefixlen 64 scopeid 0x2
carp: MASTER vhid 1 advbase 1 advskew 0
media: Ethernet 10Gbase-T <full-duplex>
status: active
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
vtnet1 aus der zweiten OPNsense:
vtnet1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=80028<VLAN_MTU,JUMBO_MTU,LINKSTATE>
ether 00:a0:98:6f:54:71
inet 192.168.0.3 netmask 0xffffff00 broadcast 192.168.0.255
inet 192.168.0.4 netmask 0xffffff00 broadcast 192.168.0.255 vhid 1
inet6 xxx%vtnet1 prefixlen 64 scopeid 0x2
carp: BACKUP vhid 1 advbase 1 advskew 100
media: Ethernet 10Gbase-T <full-duplex>
status: active
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
-
also, ich hbe zwar noch keinen ha-cluster aufgesetzt. nur so wie du es zum schluß geschrieben hast. das mit der virtuellen ip auf der fritzbox als exposted hiost ziel genommen wird. ich glaube du solltest dir das buch kaufen (ab seite 161 alles beschrieben), da ist alles erklärt und warscheinlich werde dann auch deine fragen beantwortet (zum teil)
-
Hi,
ich habe genau die gleiche Situation, bzw. das gleiche Setup.
Die Portforwarding Regeln an der Opnsense funktionieren, nur die Fritzbox leitet nichts nach Innen weiter.
- Neustart der Fritzbox hat Wunder gewirkt.
Ich teste mal was mit dem Webservice meiner DMZ passiert, wenn ich den Opnsense Master Knoten herunterfahre.
-
> Wenn ich 2 OPNsenses habe die im HA fungieren, dann haben ja beide OPNsenses jeweils eine identische virtuelle IP und eine unterschiedliche physikalische IP.
Nein, jede Kiste hat eine eigene (evtl. phys.) IP und es existiert eine CARP-style Virtuelle IP (VIP) die auf dem Interface definiert ist und eine eigene MAC Adresse hat (definiert durch die VHID).
> Und irgendwie sorgt dann MAC Spoofing noch dafür, dass da virtuelle IPs und physikalische IPs unterschiedliche MACs haben, obwohl beide die selbe NIC nutzen.
NEIN. Da geht es überhaupt nicht um MAC Spoofing. Keine Ahnung wo du das her hast? Da wird gar nichts gespooft, beide Kisten sprechen sich via CARP/VRRP ab wer Master ist und der Master zieht sich die MAC+IP auf dem entsprechenden Interface hoch. Fertig. Nix Spoofing. Der Backup Node hat die IP+MAC nicht zu dem Zeitpunkt. Da wird nix gespooft.
> Und irgendwie sorgt dann MAC Spoofing noch dafür, dass da virtuelle IPs und physikalische IPs unterschiedliche MACs haben, obwohl beide die selbe NIC nutzen.
Nope da nichts gespooft wird. Die physikalische NIC hat immer seine MAC die sie nunmal hat. Die virtuelle IP hat eine VRRP/CARP style MAC Adresse deren erste 5 Segmente immer gleich sind und die letzte Stelle wird durch die VHID bestimmt. Die IP ist der MAC Adresse zugeordnet die auf dem entsprechenden Interface hängt. Fertig. Master-Node hat die MAC+IP. Diese wandert. Wie bei jedem VRRP/CARP/HSRP artigen Gerät.
> Die Fritzbox teilt Port-Forwards/Exposed Host anhand der MAC zu und nicht anhand der IP.
Sorry aber stimmt nicht. Fritzbox geht auf die IP. Die MAC ist vollständig egal. Ich hab hier 2 Boxen, die machen gar nichts mit MACs. Das Einzige was die "versuchen" ist dieses "Home Network" Gedöns sinnvoll mit Namen aufzufüllen und die Namen gehen eben auf die MAC Adressen zurück. Aber die Exposed Host Funktion muss nicht mit diesen Namen/Home-Network-Naming eingerichtet werden. Man kann da eine völlig beliebige IP reinkleben die überhaupt nichts mit irgendwelchen magisch erkannten Namen der Fritte zu tun haben muss. Würde ich auch stets so empfehlen damit nichts durcheinander kommt und die reine IP drinsteht.
Die beiden virtuellen IP haben die normalen einmaligen MACs der NICs:
FE:41:DC:03:E2:67 = 192.168.0.4
00:A0:98:6F:54:71 = 192.168.0.4
Die beiden physikalischen IPs haben aber eine identische MAC gespooft bekommen:
00:00:5E:00:01:01 = 192.168.0.2
00:00:5E:00:01:01 = 192.168.0.3
da solltest du mal ein kurzes Diagramm zeigen und wo da was angeblich die gleiche MAC/IP Adresse hat. Gespooft wird da nichts und ich hab oft genug ein CARP Setup hinter Fritten, dass da überhaupt kein Problem existiert. Kann das gerade nicht nachvollziehen, was du da hast, da es für mich keinen Sinn gibt :)