OPNsense Forum

International Forums => German - Deutsch => Topic started by: tbarth on September 03, 2020, 04:25:37 pm

Title: [HA-Setup] Frage zu WAN-OUTBOUND bei Backup-Server
Post by: tbarth on September 03, 2020, 04:25:37 pm

Hallo,
ich habe zwei Firewalls, als HA-Setup aber noch unvollständig. Auf der 1. FW funktioniert der ausgehende Traffic. OUTBOUND ist an die virtuelle Public-IP wie folgt gebunden.

Code: [Select]

Firewall: NAT: Outbound 1. Firewall

Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
WAN 192.168.2.0/24  * * * <VIP WAN/Pulic-IP> * NO

Da auf der 2. FW die virtuelle IP nicht aktiv ist / sein kann, habe ich für OUTBOUND nur WAN-Adresse ausgewählt. Dies scheint der Grund zu sein, warum ich auf der 2. FW nicht raus komme und kein Update durch führen kann. Testweise habe ich dies auf der 1. FW auch so eingestellt, dann funktionierte der ausgehende Traffic auch nicht mehr. Wenn OUTBOUND aber an VIP WAN gebunden sein muss, wie muss ich das denn dann auf dem Backup-Server einstellen, damit ich mal ein Update durchführen kann?

Title: Re: [HA-Setup] Frage zu WAN-OUTBOUND bei Backup-Server
Post by: mimugmail on September 03, 2020, 04:36:22 pm

Das Update wird lokal initiiert, da greift keine NAT Regel, also hast du irgendwo anders ein Problem, DNS, Gateway etc.

Title: Re: [HA-Setup] Frage zu WAN-OUTBOUND bei Backup-Server
Post by: tbarth on September 03, 2020, 04:47:26 pm

Hach, dann muss wirklich das rote Kabel eine Macke haben. Ich habe DNS und Upstream-GW wie auf der 1. FW eingestellt. Muss ich wirklich hinfahren...

[...]
Updating OPNsense repository catalogue...
pkg-static: https://pkg.opnsense.org/FreeBSD:11:amd64/20.1/latest/meta.txz: No address record
repository OPNsense has no meta file, using default settings
pkg-static: https://pkg.opnsense.org/FreeBSD:11:amd64/20.1/latest/packagesite.txz: No address record
Unable to update repository OPNsense
Error updating repositories!

Title: Re: [HA-Setup] Frage zu WAN-OUTBOUND bei Backup-Server
Post by: JeGr on September 08, 2020, 12:57:21 pm

> Da auf der 2. FW die virtuelle IP nicht aktiv ist / sein kann, habe ich für OUTBOUND nur WAN-Adresse ausgewählt.

Das solltest du NUR für das LAN machen, das "hinter" der Sense aktiv ist, also 192.168.0.0/24 bspw. - das muss nach wie vor auf der VIP bleiben. Da stellt man nichts auf dem zweiten Gerät um, zumal die NAT Settings gesynct werden! Wenn du das nicht syncst, dann baust du dir andere Fehler auf. Daher erstmal Alias/NAT/Regel Sync prüfen und dann die NAT Regeln so einstellen, dass sie auch sauber funktionieren: Localhost/::1 über die Interface IP, Netze die hinter der Firewall stehen über die gewünschte VIP.

> Wenn OUTBOUND aber an VIP WAN gebunden sein muss, wie muss ich das denn dann auf dem Backup-Server einstellen, damit ich mal ein Update durchführen kann?

Siehe oben. Local bleibt auf Interface IP, Netze dahinter auf die VIP. Immer. So stehts auch in der Doku. Da die Firewall beim Update selbst mit dem Internet spricht, geht die immer über ihre WAN IP (nicht die VIP) und damit greift da normalerweise eh kein NAT.

> pkg-static: https://pkg.opnsense.org/FreeBSD:11:amd64/20.1/latest/meta.txz: No address record

Da steht aber eher "DNS kaputt" (no address). Also würde ich eher prüfen, ob mein secondary node ggf. kein DNS bekommt und warum :)