moin,
ich habe auf meinem proxmoxserver 2 opnsense zusammen als hoch verfügbarkeit laufen alles schön.
vor dem server ist ein unify edge-router und davor die fritzbox im bridge-mode.
meine öffentliche ip liegt auf dem edge-router soll aber zur firewall.
meine idee ist die firewall raus aus dem proxmox als hardware-lösung direkt an die fritzbox/bridge-mode und dann liegt die öffentliche ip an meiner firewall.
nun möchte ich aber 2 firewall wieder haben damit eine mal ausfallen kann aber alles läuft weiter.
die fritzbox hat 2 ports für bridge-mode 3 + 4 kann ich jeweils eine firewall an die ports hängen und beide haben die selbe öffentliche ip oder wie geht das ?
möchte gerne das doppelte NAT weg haben deshalb möchte ich keinen switch davor machen der baut ja wieder einen eigenen ip-bereich auf.
wenn ich nur eine firewall mache ist das kein problem aber ich spiele gerne an den diensten rum und bin dann froh wenn ich ein backup habe und eine erstatz firewall.
Du brauchst auf jedem Interface eines HA-Paares je eine IP-Adresse für jede der beiden Firewalls und eine CARP-Adresse, die zwischen den beiden hin und her wechseln kann, für die HA.
ja das ist klar auf meinem proxmox server laufen die ja als HA nur da macht zuerst der edge-router ein dhcp und darin bewegen sich die firewalls. firewall 1 192.168.2.5 und die andere 192.168.2.6 und das ganze als carp Ip das ist klar nur will ich das ganze jetzt direkt an der fritzbox machen und am bridge-mode-port ist die IP die ich von vodafon direkt bekommen habe.
also z.b. 32.168.154.241 und wenn ich eine firewall daran direkt hänge trägt die firewall diese ip und woran hänge ich die zweite ?
muss ja an die selbe ip ran sonst habe ich keinen ausfallschutz.
Das geht nicht. Du brauchst 3 IP-Adressen für HA.
Du kannst das nur im RFC-1918-Netz hinter der Fritzbox machen mit "Exposed Host".
Die Rede ist hier von statischen öffentlichen IPs.
Zur Not tut es auch eine. Aber mit dynamischen IPs wäre es schwierig.
so ist das bei mir und läuft seid jahren nur wie geht das mit dem bridge-mode ich kann ja schlecht von vodafone 2 ip bekommen oder ?
die habe ich gerade von vodafone
IPv4-Adresse: 84.119.95.245 und hier sollen 2 firewalls ran.
System: High Availability: Settings
opnsens slave 10.6.4.12
opnsens master 10.6.4.10
opnsens slave 192.168.2.126
opnsens master 192.168.2.127
Interfaces: Virtual IPs: Settings
10.6.4.1/24 1 (freq. 1/0) Vlan40 CARP CARP Vlan40 Interface
192.168.2.30/24 1 (freq. 1/0) WAN CARP WAN
Es geht fundamental nicht mit Bridge Mode bei Vodafone. Begreif das doch bitte.
Wenn du so eine geschäftskritische Anwendung hast, dass du eine HA-Firewall brauchst, besorg dir einen dazu passenden Geschäfts-Internetanschluss.
dann sag es so das ich deine worte auch verstehe
gehe davon aus du meinst deine aussage hier.
Du kannst das nur im RFC-1918-Netz hinter der Fritzbox machen mit "Exposed Host".
das ist für mich latein :-)
wollte das so haben nur mit der vodafone ip
https://b3n.org/pfsense-firewall-ha-failover-cluster/
Du hängst beide OPNsensen so wie bisher hinter deinem Edge-Router an die "normalen" (nicht Bridge) Ports deiner Fritzbox mit privaten (RFC 1918 definiert, was private Adressen sind) IP-Adressen und HA, und benutzt dann die Funktion der Fritzbox von der ich gerade nicht auswendig weiß, wie sie heißt, alle Anfragen von außen an Host X intern weiterzuleiten, also z.B. 192.168.178.X - wobei X dann die CARP-Adresse deiner OPNsense-VMs ist.
Quote from: loaded on October 17, 2024, 09:30:17 PM
dann sag es so das ich deine worte auch verstehe
Du willst HA machen, ich gehe also davon aus, dass du Netzwerk-Grundlagen beherrschst.
Quote from: loaded on October 17, 2024, 09:30:17 PM
wollte das so haben nur mit der vodafone ip
https://b3n.org/pfsense-firewall-ha-failover-cluster/
Das braucht zwingend 3 IP-Adressen, das geht nicht mit so einem Vodafone-Anschluss.
dann mache ich nur noch eine firewall und habe das was ich möchte mir ging es nur darum wenn ich mal an der firewall bastel und die kille ich noch ein backup habe und alles weiter läuft.
Quote from: loaded on October 17, 2024, 09:44:08 PM
dann mache ich nur noch eine firewall und habe das was ich möchte mir ging es nur darum wenn ich mal an der firewall bastel und die kille ich noch ein backup habe und alles weiter läuft.
Ein Snapshot ist mit Proxmox auch schnell wiederhergestellt.
ja die sollen aber von proxmox runter.
und als eigene kleine systeme laufen.
möchte meinen server neu aufsetzen. da ist proxmox verschlüsselt und wenn der server mal neustartet muss das passwort eingegeben werden und solange geht bei mir zuhause das wlan nicht und meine schwiegermutter ist am schreien.
und deshalb will ich die firewalls aus proxmox raus haben dann kannn ich den server neu machen ohne das mir einer in den ohren liegt.
Cloud Backup von OPNsense könnte auch helfen. Google und Nextcloud werden unterstützt.
https://docs.opnsense.org/manual/how-tos/cloud_backup.html
nextcloud habe ich auf meinem server und google drive kann ich noch dazu nehmen, so bekomme ich dann meine backups gemacht wenn ich da mal was kaputt mache.
OPNsense mit ZFS installieren, Snapshots/Boot-Environments nutzen. :)
habe ich noch garnicht gesehen das ist ja easy :-)
Snapshots/Boot-Environments nutzen
https://www.youtube.com/watch?v=1pb_PZX0_5c
(https://www.youtube.com/watch?v=1pb_PZX0_5c)
jetzt mal eine andere frage als firewall hardware welche cpu macht da sin ?
ein board mit n100 oder n305 ?
aktuell habe ich einen hp dl380 gen 8 mit 2 xeon 2680v2 den firewalls habe ich 4 kerne durchgereicht und die langweilen sich.
genügt da n100 oder lieber n305 oder was anderes ?
braucht die firewall ecc? in meinem server habe ich ecc aber das ist was anderes denke ich, da die firewall ja nur überwacht und nicht viel schreiben muss.
Um diese Fragen beantworten zu können, musst du schon noch ein paar Details zu deinen Anforderungen nennen.
Welcher Dateidurchsatz?
Wie viele VPNs?
Welche Pakete / Plugins sollen darauf laufen?
Und am besten machst du für diese Frage ein neues Thema auf, damit es Leute mit entsprechender Erfahrung lesen.
1 Gbit/s ohne zusätzliche Plugins werden wohl beide CPUs locker schaffen.
Entscheidend ist aber auch die Netzwerkkarte, wenn OPNsense direkt auf der Hardware laufen soll. Intel sind wärmstens empfohlen. Realtek sollten tunlichst vermieden werden.