OPNsense Forum

International Forums => German - Deutsch => Topic started by: Wayne Train on June 04, 2018, 03:50:15 pm

Title: Bug? NAT auf "Interface Address" im CARP-Cluster wird falsch geschrieben
Post by: Wayne Train on June 04, 2018, 03:50:15 pm: Hi,
ich habe folgendes Problem: Im Outbound NAT habe ich eine Regel hinterlegt, die immer auf das jeweilige Interface des Nodes natted, damit ich die FWs von einem anderen Standort auch beide erreichen kann. Dazu habe ich folgende Regel hinterlegt

SRC = SOURCE_NET -> DST = FW_ALIAS_BOTH_NODES -> NAT = INTERFACE_ADDRESS

Nun ist es aber so, dass auf dem Master-Node korrekt wie zu erwarten die "Interface Address" in der Policy steht. Auf dem Backup-Node steht allerdings nicht der Alias "Interface Address", sondern die IP-Adresse des Master-Nodes. Das hat zur Folge, dass ich über den Tunnel nicht mehr an den Backup Node komme.

Da ich mir gerade nicht vorstellen kann, dass dies das erwünschte Verhalten ist, wollte ich mal nachhören, was ihr so meint. Wenn ihr die gleiche Vermutung habt, würde ich es als Bug melden.

MFG & einen sonnigen Tag noch
Wayne
Title: Re: Bug? NAT auf "Interface Address" im CARP-Cluster wird falsch geschrieben
Post by: JeGr on June 04, 2018, 04:00:18 pm: Also ich würde ebenfalls behaupten, dass - sofern das nirgends so dokumentiert ist - es ein Bug ist. Ich kenne das Verhalten zumindest nicht von der pfSense, weder von 2.1/2.2 noch den neuren, also muss das ein neueres "Feature" sein, was ich aber (ähnlich der Änderung mit dem Rotieren der NAT Adressen...) sehr zweifelhaft finde. Wenn mir gesagt wird, dass meine Regeln 1:1 gesynced werden, dann gehe ich bei "WAN address" bzw. Interface Address davon aus, dass das so gesynced wird und nicht auf dem Standby Node geändert wird auf die Adresse des Masters. Das macht doch keinen Sinn. Wenn ich die Master Adresse haben will - und NUR diese (was in einem Cluster Setup eh zweifelhaft wäre), dann würde ich die IP händisch reinschreiben oder als Alias definieren.

Just my 0.02€ :)
Title: Re: Bug? NAT auf "Interface Address" im CARP-Cluster wird falsch geschrieben
Post by: Wayne Train on June 04, 2018, 04:08:24 pm: Jepp,
das war auch mein Gedanke. Bin mir allerdings gerade nicht mehr ganz sicher, ob das jetzt erst mit der 18.1.9 kam, oder schon vorher so war und ich es nur nicht entdeckt habe...
MFG
Wayne
Title: Re: Bug? NAT auf "Interface Address" im CARP-Cluster wird falsch geschrieben
Post by: JeGr on June 04, 2018, 05:17:56 pm: Ich habe den Rest aufgesplittet in ein neues Thema, damit hier ggf. noch andere zum Thema was dazu schreiben mögen :)