Hallo,
ich verwende derzeit noch eine Unifi UDM SE und plane auf OPNSense umzusteigen.
Hierzu habe ich mir zwei Sophos XG 450 zugelegt, welche ich als HA-Cluster an einem einzelnen Telekom-Glasfaser Anschluss betrieben möchte. Auf beiden XG 450 ist OPNSense installiert
Mir ist bisher noch nicht so ganz klar, welche Eigenschaften ein WAN-Switch vor den beiden Sophos erfüllen muss, damit ich per Ethernet vom Telekom Glasfaser Modem 2 aus auf die beiden Sophos verteilen kann. Es liegt nur ein Glasfaseranschluss vor. Muss dieser Switch z.B. VLAN-fähig sein, um VLAN 7 bereitzustellen ? Oder kann ich da einen einfachen unmanaged Switch nehmen und VLAN 7 dann über OPNSense auf der WAN-Schnittstelle definieren ?
Und wie muss ich dann die WAN-Schnittstelle in beiden Sophos definieren ? Müssen beide dann die PPPOe Einwahldaten erhalten ?
Fragen über Fragen...
Ich würde mich über eine kleine Hilfestellung diesbezüglich freuen.
Wenn die OPNsense PPPoE Einwahl machen soll ist kein "echtes" HA möglich.
Es gibt zwar die Option dass automatisch die PPPoE interfaces hoch und runtergefahren werden, aber das ist nicht zu empfehlen wenn die Anwendung der Firewalls z.B für eine Firma verwendet wird, es ist viel zu instabiö bei einem Failover. Z.b. bei flapping (schnelle Failover) kann es sein dass die PPPoE interfaces unten bleiben und sich nicht neu verbinden, oder der Provider zu schnelle wiederholte authentifizierungen sperrt.
Am besten wäre echtes Ethernet für HA, oder ein PPPoE terminierender router vor den HA Routern.
Ansonsten einen einzelnen Router nehmen und den anderen mit der gleichen Konfig im Cold Standby bereit halten, das ist am stabilsten und zuverlässigsten wenn die Infrastruktur kein echtes HA hergibt.
Quote from: Monviech (Cedrik) on September 14, 2025, 06:15:53 PMEs gibt zwar die Option dass automatisch die PPPoE interfaces hoch und runtergefahren werden, aber das ist nicht zu empfehlen wenn die Anwendung der Firewalls z.B für eine Firma verwendet wird, es ist viel zu instabiö bei einem Failover. Z.b. bei flapping (schnelle Failover) kann es sein dass die PPPoE interfaces unten bleiben und sich nicht neu verbinden, oder der Provider zu schnelle wiederholte authentifizierungen sperrt.
Vielen Dank für die Info.
Könnte ich einen einfachen Router vorschalten, der sich per PPPOe einwählt und diesen danach über einen Switch auf beide OPNSense Einheiten verteilen ?
Das Ganze soll in einem Privathaushalt laufen.
Nein, das Telekom Glasfaser Modem 2 ist eine reine Bridge. Die Einwahl erfolgt durch die OpnSense per PPPoE.
Bei den meisten ISPs wäre HA aber auch keine Option, nicht einmal mit DHCP - zumindest nicht ohne Tricks. Die DG beispielsweise akzeptiert keinen (schnellen) Routerwechsel, es darf nur eine DUID aktiv sein, sonst muss man eine Stunde warten. Andere Provider prüfen die MAC. Wenn Du also zwei OpnSensen über einen Switch an den selben ONT anschließt, bekommst Du auch da ein Problem.
Der Cold Standby ist da wohl die beste Variante. Im übrigen: Der ONT ist ja auch ein Single Point of Failure. Hast Du dafür einen Klon parat? Ich schon!
Im privathaushalt am besten auf HA verzichten, das lohnt sich nur im Business Umfeld wenn man Geld verliert durch service ausfall.
Als perspektive, ich arbeite von daheim und benutze eine DEC750 und einen PPPoE Zyxel Vectoring Modem.
Beide Geräte habe ich nochmal im Schrank falls eins kaputt gehen sollte damit ich schnell weiter arbeiten kann. Aber HA tue ich mir privat nicht an.
(Ich arbeite für Deciso)
Quote from: meyergru on September 14, 2025, 06:58:05 PMDer Cold Standby ist da wohl die beste Variante.
Ok, dann werde ich mir das mal ansehen.
Quote from: meyergru on September 14, 2025, 06:58:05 PMm übrigen: Der ONT ist ja auch ein Single Point of Failure. Hast Du dafür einen Klon parat? Ich schon!
Nein, dafür habe ich noch keinen Klon. Da muss ich mal schauen, wo man einen Klon herbekommen könnte.
Quote from: Monviech (Cedrik) on September 14, 2025, 07:32:10 PMIm privathaushalt am besten auf HA verzichten, das lohnt sich nur im Business Umfeld wenn man Geld verliert durch service ausfall.
Ich habe die beiden Sophos-Einheiten sehr günstig bekommen und dachte mir, das wäre ein nettes Projekt, da ich jetzt Rentner bin.