Messages

Moin,

vielen Dank für die Aufklärung.
Ob mir/uns das jetzt weiterhilft ist die Frage.

Unter HA stelle ich mir halt etwas anderes vor.
Evtl. müsste ich die MASTER Node an eine abschaltbare Steckdose setzen, wenn ich dann vom Peer alle 5 Minuten einen SSH auf die HA Schnittstelle mache und das nicht funktioniert: Kopf ab (STONITH)

,....

Moin,

ich versuche mich mal an der Situationsbeschreibung:

Wir haben zwei opnsense GW (MASTER / PEER)

Wir haben zum wiederholten male den Fall gehabt, das auf dem MASTER ein Problem entstand und die Dienste ihren Dienst quittiert hatten, aber der PEER nicht eingesprungen ist.

Aktuell ist mal wieder eine SSD defekt gegangen, dass habe ich so oft auch noch nicht gehabt. Es gab aber auch schon mal ein anderes Problem, die Probleme müssen nicht hier untersucht werden,...

Fakt war, das der MASTER zwar noch z.B. über einen Ping erreichbar war, aber es lief keinerlei Verkehr über das GW.
auf was prüft denn die HA / CARP Übernahme?

Welchen Lösungsansatz könnt Ihr mir empfehlen STONITH? Auf welche Trigger könnte ich da aufbauen?

Grüße

Gregor

Moin,

an welcher Stelle müsste ich denn einen Feature Request einwerfen, oder evtl. gibt es den schon:

Bei der Definition von Aliase gibt es ja die charmante Möglichkeit direkt ein Suchfeld zu haben, welches sogar Live die Liste filtert.
Dieses wäre bei andern Listen ebenfalls hilfreich, z.B. bei den Regelwerk für die Firewall.

Diese Listen kann man zwar über Kategorien filtern, diese müssen aber zuerst angelegt und zugeordnet werden. Das macht zwar im Grunde genommen Sinn, aber eingänglicher wäre eine Suchfunktion wie bei den Aliase.

Gibt es Gründe die gegen so eine Suche sprechen? Gibt es den Feature Request schon?

Grüße

Gregor

Mercy

Moin,

wir sind dabei den GL Anbieter zu wechseln.
Von beiden Anbietern liegen die IP Bereiche an der OPNsense an.

Gibt es die Möglichkeit, den Gateway Quellbezogen zu bestimmen? Normalerweise erfolgt das Routing ja über die Definition der Ziele.

Mein Wunsch wäre es, erst mal bestimmte interne Netze über den neuen Anbieter zu routen und den DefaultGW erst im letzten Schritt umzustellen.

Grüße

Gregor

Mea culpa.

Und vielen Dank für die Richtigstellung.
Ich habe tatsächlich nur auf den Status geschaut, ohne einen Ping oder ähnliches Laufen zu lassen,...

Nachdem ich für den Peer den Parameter keepalive gesetzt habe, einfach mal auf 3 Sekunden, wird der Tunnel aufgebaut.

Jetzt sehe ich im Firewall Live Log auch eingehenden Verkehr auf Port 51820,...

Warum ich den Parameter setzen muss erschließt sich mir noch nicht, in den Tutorials wurde das nicht gemacht.

Moin,

Ist das ein Test-Lab mit privaten WAN Subnetzen?
Dann musst du in den WAN Interface Einstellungen den Haken bei "Block private networks" entfernen.

Ja, für dieverse Tests betreibe ich das lokal, ich teste hier verschiedene Setups.
"Block private networks" ist ausgeschaltet.

Und ggf. "Force gateway" ausschalten.

Die Stelle Option finde ich nicht, ist die ebenfalls direkt am WAN Interface?

Moin,

ich versuche zwischen zwei virtualisierten OPNsense eine Wireguard Verbindung zu erstellen:

envA
WAN 192.168.211.206

envB
WAN 192.168.211.159


Die Verbindung setze ich nach https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html auf.

Ich denke, das ich die Instanz und die Peers richtig konfiguriert habe.
Was ich momentan nicht feststellen kann ist, dass auf den FWs kein eingehender UDP Verkehr auf dem port 51820 entsteht. Ich habe die Freigaberegel im log, ein nmap von einem anderen Gerät wird auch geloggt.

Ich habe schon ganz verschiedene Setups versucht, mit zugewiesenen Interface als auch ohne.
Und diverse andere Sachen und Freigaben.

Die jeweiligen peers zeigen natürlich auf die WAN IP der Gegenseite, aber wie geloggt, scheint da kein Verkehr anzukommen?
Die VMs sind mit der aktuellsten 25.7.5 versehen.

Grüße

Gregor

Hmm, momentan funktioniert es, ich habe noch mal alle Instanzen gesynct.

Evtl. war eine Einstellung noch nicht auf den HA Backup übertragen,...

Moin,

ich teste (virtuell) gerade ein Setup mit insgesamt 4 opnsense FWs , jeweils zwei pro virtueller Umgebung.
Ziel ist ein HA Setup mit entsprechenden CARP VirtIPs und einem IPSec Tunnel.

Der Grundaufbau ist kein Problem, die Definition der einzelnen Netze und das einrichten der VirtIPs nebst HA funktioniert tadelos.

Der Grundlegende Aufbau der IPSec Verbindung funktioniert ebenfalls.

Was nicht funktioniert ist der automatische Wiederaufbau der IPSec Verbindung im HA Fall.

Getestet habe ich das manuelle Herunterfahren oder auch eine Neustart der jeweiligen HA Master FW.

Die Übernahme der VirtIP klappt, der Tunnel wird nicht automatisch wieder übernommen, erst manuell kann ich ihn wieder starten.

Ich habe jetzt schon verschiedene Einstellungen versucht, bin aber noch zu keinem zufriedenstellenden Ergebnis gekommen.

Hat jemand ein entsprechendes Setup am laufen und es funktioniert?

Grüße

Gregor

Hi,

it use a longer time, but we repair the master node now.
But I still wonder how we take it back in use.

Cause there was many changes on the backup node we still need to transfer the changes from backup to master.

Or maybee it is an idea to work with the conf.xml and change all specified settings in it?

Thanks

Gregor

Hi,

after some problems we decide to switch of the master node.
Now we want to reuse it, but we did some chnages on rules etc. on the backup node while the master node was out.

How could I manage the situation?

Could I provide the backup node to master, after that I setup the old master to backup?

Or wat is the right way?

Thank You!

Gregor

Moin,

das ist mir jetzt echt peinlich :-(

Natürlich habe ich eine OPNSense am laufen.

Bitte den Fehler zu entschuldigen!

Gregor

Moin,

ich betreibe seit kurzem eine OPNsense als VM auf einem Proxmox VE.
Dem host hab ich eine Netzwerkarte eingebaut, diese wird über PCIe passthroug der OPNsense weitergereicht.

Über das Interface ist das Modem der Deutschen Glasfaser angebunden.

Den Aufbau habe ich gewählt, da über die ebenfalls verfügbaren FritzBox noch das Kabel von Vodafone genutzt wird.

So konnte ich die vor zwei Wochen geschaltete GF schon mal testen.
Die OPNsense bekam auch nach einer gewissen Wartezeit eine IPv4 zugewiesen. Der Vorgang dauerte schon recht lang.

Wir konnten etwa 2 wochen lang auch die OPNsense als GW nutzen, gestern Abend verlor die OPNsense ihre IPv4.
Auf der Shell kann ich die DHCP Requests nachvollziehen.

Starte ich die OPNsense neu, bleibt sie bei dem Punkt 'configuring WAN interface' hängen. Trenne ich das Netzwerkkabel, startet die VM durch.

Das ist jetzt auch erst mal mein eigentliches Problem. Kann ich das Hängenbleiben verhindern, ohne das Kabel zu trennen?

Grüße

Gregor