OPNsense Forum
International Forums => German - Deutsch => Topic started by: Emma2 on April 12, 2024, 11:28:42 am
-
Ich habe mal eine ganz grundlegende Frage und hoffe, dass Ihr mir dabei weiterhelfen könnt.
Ich setze meine OPNsense als VM auf Virtualbox ein und nutze sie natürlich als Router/Firewall und baue damit einen Tunnel zwischen zwei Standorten auf. Aktuell setze ich keinen Verzeichnisdienst ein (hatte früher MS-AD, brauche das aber zur Zeit nicht, und wenn doch würde ich etwas anders MS-freies nutzen, z.B. LDAP).
Für meine internen Zwecke habe ich ein dezidiertes Ubuntu mit dnsmasq laufen, das reicht mir für DHCP und DNS. Für die Redundanz habe ich in jedem der beiden Standorte zwei solcher Server.
Nun denke ich darüber nach, ob ich diese beiden vielleicht wieder abschaffen sollte und DHCP und DNS direkt auf der OPNsense nutzen sollte. Macht das aus Eurer Sicht Sinn? Wenn die OPNsense nicht läuft, dann kann ich sowieso nicht arbeiten, allein die Ausfallsicherheit ist also für mich kein hinreichendes Argument, die separaten DHCP/DNS-Server zu haben.
Ich bin echt unschlüssig, denn einerseits sind die Ubuntus eingerichtet und laufen, aber andererseits sind sie natürlich eine weitere VM, die auch einmal sterben könnte. Wie wäre Eure "Best Practice"?
-
Hallo,
Kommt also darauf an:
hier solltest du, wenn du es ganz genau machen willst, eine Risikoanalyse anfertigen.
DNS und DHCP laufen stabil (Unbound und ISC, Kea keine Ahnung) auch auf OPNsense und die Frage ist, kannst/willst du überhaupt Arbeiten, wenn die OPNsense aussteigt?
Hier sollte man Wartungsaufwand, Ausfallwahrscheinlichkeit und Effekte auf dein Netz beleuchten. Zuhause würde ich sagen: OPNsense rockt. Wenn ich ein Active Directory nutze, dann ändert sich diese Einschätzung wahrscheinlich. Aber weniger wg. Ausfallsicherheit, eher wg. Wartungsaufwand.
-
Hallo.
Danke für die Erläuterung. Ist zwar nicht "zu Hause" aber sehr kleine Firma, und genau deshalb tendiere ich ja dazu, DHCP und DNS auf die OPNsense zu portieren. Wenn die dort stabil laufen, und das schreibst Du ja, dann spricht da nichts dagegen.
Ich werde die vielleicht mal zusätzlich einrichten und dann meine aktiven abschalten.
-
Also mit DHCP (ISC) und DNS (unbound) habe ich seit Mai 2018 hier stabilen Betrieb. Auf IPv4 und IPv6 mit transparenter Zonenerweiterung und ~10 LAN Segmenten und sogar OpenVPN RoadWarrior Setup.
Und das sogar mit Realtek NICs 8)
-
Und bei den Realtek NIC, kannst du bitte mal schreiben welche es sind...
-
Nachbrenner: Könnt Ihr ein gutes Howto empfehlen, wie man DHCP und DNS auf der OPNsense am besten einrichtet? Oder ist das trivial?
Konkret habe ich in jedem der beiden Standorte zwei Subnetze (LAN und DMZ) und würde idealerweise auch Rechner finden wollen, die am jeweils anderen Standort eine Adresse per DHCP bekommen haben. Mit dnsmasq ist das misslungen, denn wenn die beiden DNS-Server jeweils auf den anderen weitergeleitet haben, haben sie bis zum Timeout Pingpong gespielt, und Externzugriffe waren damit extremst langsam...
-
Es handelt sich um sowas hier: (amazon link)
https://www.amazon.de/mini-PC-Barebone-quad-core-Graphics-l%C3%BCfterlos/dp/B06Y2H6G9R
Leider ist die zotac website derzeit down.
-
@Emma2 Du könntest für die beiden Standorte je eine eigene Subdomain verwenden und dann für diese jeweils eine DNS-Weiterleitung. Also z.B.
standorta.firma.de
standortb.firma.de
Inberhalb ein und derselben Zone würde das z.B. mit Windows Active Directory funktionieren.
-
Dann müsste ich aber alle Namen voll qualifizieren. Geht es nicht auch anders?
- Können sich nicht zwei OPNsense-DNSse gegenseitig synchronisieren oder replizieren?
- Könnte man alternativ dafür sorgen, dass eine Weiterleitung nicht zurückgeworfen wird?
-
1. Nur in Form eines HA-Paares.
2. M.W. nicht.
Deine Clients haben doch einen Search Domain Liste. Trag da die beiden Domains für beide Standorte ein und "ping host" guckt zuerst in der einen und dann in der anderen.
-
Die Zwei-Domain-Lösung ist mir nicht so sympathisch, weil ich dann recht viel ändern müsste... dann verzichte ich zur Not auf das Auffinden entfernter DHCP-Clients (kommt nicht so oft vor).
Aber was sind HA-Paare?
-
High-Availability - ein Cluster aus zwei synchronisierten Firewalls an einem Standort.
-
Ach so... als Nicht-wirklich-Experte dachte ich schon, das hätte etwas mit dem "HAProxy" zu tun...
Aber was heißt "ein Standort"? Ich kann das also nicht durch meinen Tunnel hindurch betreiben?
-
Nein, die beide Firewalls brauchen identische Interface-Konfiguration etc. HAproxy heißt natürlich auch HAproxy, weil er High Availability implementiert. Das Teil ist als Frontend vor einer Farm von Webservern (u.a.) gedacht.
-
Schade. Dennoch lieben Dank für die Erläuterung.