Hallo zusammen,
ich betreibe zwei OPNsense-Appliances im HA-Verbund über CARP. Die PFSYNC-Leitung ist hierbei eine direkte Verbindung zwischen Firewall A und Firewall B, wobei auf dem zugehörigen Interface eine "allow-ANY-Regel" im Firewall-Ruleset hinterlegt ist.
Mir ist gerade unklar, ob ich hierbei noch zusätzlich für jedes weitere Interface, welches ich per CARP (und virtueller IP) hochverfügbar machen will, noch eine ALLOW-ANY-Regel für das CARP-Protokoll hinterlegen muss. Da ich mit mehreren VLANS arbeite, habe ich derzeit eine Interface-Gruppe angelegt ... darauf dann im Firewall-Ruleset "Allow CARP from ANY to ANY".
Da ich gerne unnötige Regeln vermeiden möchte, stellt sich für mich die Frage, ob bei eigenständiger/dedizierter PFSYNC-Leitung überhaupt noch CARP-Traffic auf den anderen Interfaces läuft und welche Regeln hier entsprechend zu pflegen sind.
In der HA-Doku der pfSense kann ich - komischer Weise - nämlich keinen Hinweise auf entsprechende Firewall-Regeln für die CARP-Interfaces finden.
Schöne Grüße und Dank,
mscd
Schau ma in floating rules die autogenerated rules an, da ist CARP überall rein und raus erlaubt. Musst nix machen
OK, Danke ... sehe es gerade ... passt aber dann z.B. nicht so sauber zur Doku hier:
https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten#Konfiguration
bzw.
https://docs.opnsense.org/manual/how-tos/carp.html#setup-interfaces-basic-firewall-rules
Ja, ist nicht mehr aktuell. Da könnte man mal n Update machen