Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: chrisfnf on February 05, 2026, 02:30:56 PM

Title: Virtl. IP in Master Instanz WAN und LAN unterschiedlich / HA Umgebung
Post by: chrisfnf on February 05, 2026, 02:30:56 PM
Hallo in die Runde,

OPNsense Newbie hier. Beim Synchcronisieren der OPNsense Master Instanz auf die Backup Instanz ist mir ein mir nicht bewusster Fehler unterlaufen: nun steht in der Master Instanz wie virt. IP des WAN auf 'Backup' und die virt. IP des LAN auf 'Master', wodurch ich Probleme beim Synchronisieren habe.

Ich verwende OPNsense 26.1 mit folgendem Setup: VDSL > Switch > 2er OPNsense Cluster > LAN Switch; die zwei OPNsense Hardwaremodule haben vier 802.3 Interfaces, Synchronisation über das PFSYNC Interface.

Mir ist auch die richtige HA Konfiguration der Backup Instanz nicht ganz klar.
- am PFSYNC Interface beider OPNsense Instanz habe ich eine Firewall "In Regel" definiert damit die Instanzen miteinander kommunizieren
- User mit PW nur in HA Einstellungen des Masters

Synchronisiere ich, erscheinen beim Status der Master Instanz die Dienste, bei der Backup Instanz kommt die Fehlermeldung "Auf die Absicherungs-Firewall kann nicht zugegriffen werden (Benutzerberechtigungen prüfen)".

Der Missmatch der virt. IPs liegt wahrscheinlich daran dass ich die  Backup Instanz  kurz in den Wartungsmodus geschaltet habe.
Wie kann ich die virt. IP des WAN auf 'Master' zurück setzen? Was könnte eine eine mögliche Ursache der Berechtigungs Fehlermeldung sein? Eine Kommunikation zwischen den Instanzen findet ja statt, sonst würde die Amster Instanz ja statt der Dienste im HA Status einen Fehleranzeigen anzeigen?

Besten Dank für eure Hilfe vorab!



Title: Re: Virtl. IP in Master Instanz WAN und LAN unterschiedlich / HA Umgebung
Post by: Patrick M. Hausen on February 05, 2026, 02:38:27 PM
Bist du nach der Dokumentation vorgegangen?

- pfsync (Firewall states) am besten per Multicast auf einem dedizierten Interface (Patchkabel)
- Firewall-Regel auf diesem Interface "allow any any"
- XML-Sync nur von Active auf Backup - auf dem Backup darf die andere Firewall nicht konfiguriert werden!

HTH,
Patrick
Title: Re: Virtl. IP in Master Instanz WAN und LAN unterschiedlich / HA Umgebung
Post by: chrisfnf on February 05, 2026, 03:53:13 PM
Vielen Dank für Deine Antwort @Patrick M. Hausen

Quote from: Patrick M. Hausen on Today at 02:38:27 PMja, bin ich - soweit ich das beurteilen kann.

- HA Master Einstellungen wie beschrieben, 'root' als Sync Benutzer mit root Passwort gesetzt.
- mit Patchkabel verbunden von 10.128.60.12 auf 10.128.60.11
- auf Backup unter 'Firewall > Regeln' neue 'In'- Regel mit any erstellt, damit die Instanzen kommunizieren können (wenn ich keine Regel im Backup erstelle, kommt auch am Master eine Authoriserungsfehlermeldung wenn ich synchronisieren will)

Wie schalte ich denn die virt. IP des WAN von 'Backup' auf 'Master' zurück?

Danke!
Chris
Title: Re: Virtl. IP in Master Instanz WAN und LAN unterschiedlich / HA Umgebung
Post by: Patrick M. Hausen on February 05, 2026, 04:06:38 PM
Wenn du nicht "Disable Preempt" aktiviert hast, passiert das automatisch.
Text only | Text with Images