OPNsense Forum
International Forums => German - Deutsch => Topic started by: Dieter Bosli on February 19, 2019, 06:49:52 pm
-
Hallo zusammen
Ich habe hier zwei baugleiche (apu4c4) OPNsense mit 19.1.1 im HA-Betrieb im Einsatz. WAN, LAN und Opt1 als CARP und Opt2 für pfsync. Das funktioniert bisher gut.
Bevor ich auf HA-Betrieb umstellte, lief auch OpenVPN auf der OPNsense und zwar im Brückenmode (TAP) über UDP. Das funktionierte wunderbar.
Nachdem ich auf HA-Betrieb umstellte, wollte ich OpenVPN jetzt auch wieder in Betrieb nehmen, was mir aber bis dato nicht gelungen ist. Grösstenteils endeten meine Versuch mit fatalen Crashs der OPNsense - will heissen keinen Zugriff mehr per Web GUI, SSH und serieller Konsole.
Lösung jeweils nur noch hartes Trennen der Speisung, entfernen aller LAN-Kabel und dann booten mit der seriellen Konsole. Wenn OPNsense dann oben war, als root anmelden und die Interface neu Zuordnen, damit die neuen Interfaces Opt3 (TAP) und Opt4 (Brücke) deaktiviert wurden. Danach konnten die LAN-Kabel wieder eingestecktm, und über Web GUI oder SSH angemeldet werden.
Etwas strange finde ich solche Crashs schon...
Beim Konfigurieren des OpenVPN-Servers gehe ich folgendermassen vor:
- TAP-Device
- Protokoll UDP
- Schnittstelle früher ANY, jetzt explizit CARP auf WAN-Seite
- Brücken-Schnittstelle früher LAN jetzt explizit CARP auf LAN-Seite
- DHCP-Range des VPN's schön am DHCP-Range der LAN-Seite vorbei. Da entsteht kein Konflikt.
Interfaces:
- Opt3 -> ovpns1
- Opt4 -> bridge0
Bridge:
- früher zwischen ovpns1 und LAN, jetzt explizit zwischen ovpns1 und CARP auf LAN-Seite
Dazu kamen dann noch Client-spezifische Konfigurationen. Nach meine Gefühl, dürften die Probleme eher nicht davon kommen.
Nachdem mir beim ersten Versuch gleich beide OPNsense gecrashd sind, da ich natürlich die Synchronisation auch auf OpenVPN eingeschaltet hatte, habe ich diese vorerst aus den HA-Einstellungen heraus genommen, so hat mir bei den weiteren Versuchen wenigstens das Backup-System sauber übernommen.
Ich habe auch versucht den OpenVPN-Server erst mal deaktiviert zu lassen, ebenso die Client-spezifischen Konfigurationen. Brachte letztendlich aber keine Änderung am Verhalten. Ich tippe auf ein Problem mit den Interfaces, kann aber nichts finden.
Benötige ich ein weiteres CARP auf das TAP Interface?
Was muss ich im HA-Betrieb bei der Konfiguration von OpenVPN speziell beachten?
Kennt sich damit jemand aus und kann mir weiter helfen.
Herzlichen Dank und einen schönen Abend noch
Dieter