OPNsense Forum
International Forums => German - Deutsch => Topic started by: Shihatsu on June 09, 2021, 10:43:40 am
-
Heya, ich betreibe 2 OPNsense Installationen und habe diese via CARP zum HA-Failover-Cluster verbunden, dabei folgte ich diesen Anleitungen:
https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten
https://docs.opnsense.org/manual/how-tos/carp.html
Bevor ich HA umgesetzut habe, hatte ich schon eine einzelne OPNsense Installation inklusive VLANs - die VLANs würde ich gerne in meinen HA-Cluster integrieren. Leider finde ich dazu keinen vernünftigen Guide oder Beispiele. Kann hier jemand unterstützen?
-
Sollte eigentlich genau so funktionieren.
Du musst dann nur pro VLAN Interface jeweils die 3 Adressen anlegen
1. FW Adresse 1
2. FW Adresse 2
3. Virtuelle IP
-
Und die VIP lege ich vom Typ Carp an, als VHID nehme ich was freies (sinnvollerweise die VLAN-ID?), und DHCP aktiviere ich ganz normal, nur als Gateway nehme ich die VIP statt "leer"?
Frage lieber bevor ich was "dummes" tue, danke schon mal!
-
Und die VIP lege ich vom Typ Carp an, als VHID nehme ich was freies (sinnvollerweise die VLAN-ID?), und DHCP aktiviere ich ganz normal, nur als Gateway nehme ich die VIP statt "leer"?
Frage lieber bevor ich was "dummes" tue, danke schon mal!
Klingt schonmal richtig
Du kannst dich an sich voll und ganz nach der offiziellen Anleitung richten und wiederholst die Schritte der LAN Schnitstelle eben für jedes einzelne VLAN.
-
>Und die VIP lege ich vom Typ Carp an, als VHID nehme ich was freies (sinnvollerweise die VLAN-ID?), und DHCP aktiviere ich ganz normal, nur als Gateway nehme ich die VIP statt "leer"?
VLANs werden 1:1 wie normale Interfaces behandelt:
* Auf jedem Node VLAN anlegen
* Interface assignment richtig machen und vor allem IMMER die richtige REIHENFOLGE beachten. Jedes IF auf beiden Nodes muss genau mit dem anderen Node übereinstimmen. Es darf nicht VLAN 121 auf Node A OPT1 und auf Node B OPT3 sein. Die OPT Interfaces müssen exakt übereinstimmen!
* IF konfigurieren
* VIP auf Primary Node anlegen, Typ CARP
VHID kann in *jedem getrennten* Broadcast Abschnitt die SELBE sein! Da VLANs normalerweise nicht irgendwie gebridget sind und eigene Broadcast Zonen haben kann man bspw. auf WAN, VLAN5, VLAN10, VLAN15 überall VHID 4 für IP4 und VHID6 für IP6 nehmen und es beißt sich nicht. Lediglich wenn ein zweites HA Pärchen im gleichen Netz steht, darf damit natürlich keine Überschneidung passieren. Ansonsten darf die ID gleich sein.
Auch mehrere IPs auf EINEM Interface brauchen KEINE multiplen CARP VIPs. Es genügt EINE und diese wird dann als Basis für andere VIPs vom Typ Alias IP genutzt.
Ansonsten wie gesagt, VLANs sind auch "nur ganze normale Netze" :)
Cheers
-
Ich hab das jetzt mal umgesetzt (bevor ich hier wieder reingeschaut habe).
Ich "glaube" das beide OPT3 hießen bevor ich den passenden Namen vergeben habe, ansonsten bin ich quasi genauso vorgegangen. Ich kriege auch per DHCP eine IP zugewiesen wenn ich mich an eine entsprechend getaggten Port vom Switch hänge (an der Konfiguration vom Switch habe ich nichts geändert). Allerdings behauptet KDE "You seem to be connected to a network but not to the internet" - per ping heise.de laufe ich auch in einen timeout, obwohl er die ip ganz offensichtlich auflösen kann:
ping heise.de
PING heise.de (193.99.144.80) 56(84) bytes of data.
Nur dann kommt eben nichts mehr. Firewall-Regeln sind analog zu LAN angelegt, DHCP sieht aus wie LAN (halt verschiedene Netze, aber prinzipiell gleich) und eigentlich sieht VLAN_10 wie LAN aus. Wie nähere ich mich dem Problem?
-
Kurze Frage
Funktioniert dein CARP Setup denn ohne ein VLan Interface?
Hast du CARP auch auf dem WAN? Falls ja ist Outbound NAT angepasst?
Hast du dem Client auch die Carp IP der OPNsense als Gateway gegeben?
-
CARP funktioniert, ja. Ich kriege saubere IPs per DHCP, kann mich mit festen IPs im NEtz befinden, Failover funktioniert und Upgrades funktionieren.
Ich habe CARP auch auf dem WAN Interface aktiviert, inkl manueller Outbound NAT rule generation LAN net -> WAN. Brauche ich eine solche Regel auch für das VLAN?
Meinst du mit der CARP IP die VIP vom Typ CARP die die beiden VLAN-IPs "zusammenführt"? Wenn ja, dann ja. Mein VLAN_10 sieht genauso aus wie LAN, mit Ausnahme der NAT rule. Hab wirklich jede Einstellung doppelt überprüft. Ich probier das mit der NAT rule mal aus.
Edit sagt: Danke! Genau das wars. Ich sollte mal merken das GENAUSO halt eben auch GENAUSO meint und nicht genauso bis auf einen Unterschied. Dum Dum dum. Danke!
-
Huhu, ich muss das nochmal hochholen. Wie krieg ich DHCP auf den VLANs sauber aktiviert?
Ich richte die VLANs mit Carp folgendermassen ein:
- VLAN hinzufügen *2
- Interface assignen *2
- Interface aktivieren *2
- VIP aktivieren *1 (nur auf dem Master)
Dann kommen die Firewall Rules:
Kopie der "Default Access Rule von LAN für VLANs und Outbound NAT.
Dann synche ich den Master zum Backup.
Wenn ich da rein jetzt einen Rechner hänge, kann der sauber seine beiden OPNsense pingen und hat DNS und Route ins Internet. Wenn ich jetzt aber DHCP4 auf dem Master aktiviere und dann synche und dann daran einen Rechner hänge, kriegt der keine IP und kommt nicht ins Internet (logisch).
Der DHCP Status sieht dann wie folgt aus:
dhcp_lan (LAN) normal 2021/07/09 16:54:30 UTC normal 2021/07/09 17:03:11 UTC
dhcp_opt2 (VLAN_10) recover 2021/07/09 17:03:11 UTC unknown-state 2021/07/09 17:03:11 UTC
Das passt auch zum log:
2021-07-09T19:06:58 dhcpd[48361] DHCPDISCOVER from 00:15:58:80:31:82 via bce1_vlan10: not responding (recovering)
Was ist hier falsch konfiguriert? Ich bin mir sicher das es an meiner Dummheit liegt...
-
Puh gerade schwierig zu sehen. Prinzipiell hört sich das ja alles richtig an aber das ist schwer zu sagen. Kannst du da ggf. Screenshots zeigen von der DHCP Konfiguration und der VLAN Konfiguration?
-
Klar, gerne, alles was hilft!
Das hier ist vom MAster, bis auf die andere Failover-IP ist das identisch. Fehlt noch was bzw. was soll ich noch liefern?
-
Huhu, wie kann man hier ein Thema als gelöst markieren?
Die Lösung ist recht einfach. Man muss DHCP auf beiden Geräte konfigurieren und aktivieren und danach synchen - nicht auf dem MAster und dann auf den Backup synchen. Muss man wissen. Nunja. Danke!
-
Moin, moin, Shihatsu,
Wenn sich ein Thread aus meiner Sicht gelöst hat, melde ich mich an und ändere das Subject des ersten Beitrags im Thread.
Gruß
Thomas