Messages

Hallo,

lange lief bei meinem Cluster alles ohne Probleme.
Jetzt habe ich bei einem neuem CARP Cluster member das Problem das dieser immer sporadisch auf Backup fällt und im Backup zum Master wird. Das gibt natürlich Probleme weil alle anderen weiterhin auf der Master Maser bleiben.

Ich kann kein Fehler dazu finden. Nach dem ich das letzte Update gemacht habe war der Fehler für kurze Zeit weg und es lief auch alles wieder. Seit heute Nacht ist er wieder da.

Hatte das schonmal jemand und kann hier gegebenfalls einen rat geben wie ich das lösen kann?

Vielen Dank.

Es handelt sich bei der Software um Koala Software.

Das Zielsystem ist ein Debian. Ich habe das mal so eingestellt wie du das vorgeschlagen hast: Outbound NAT auf die gewünschte ext IP für den einzelnen Host. Route von der ext IP auf die int IP und im Debian dem Loopback interface zusätzlich die ext IP zugewiesen. Regeln für die ext IP im WAN Regelwerk was erlaubt sein soll habe ich auch angelegt.
Muss damit die Route funktioniert ja den Alias auf der WAN Schnittstelle für die externe IP löschen. Soweit läuft es dann auch. Mit tcpdump sehe ich das die Pakete angenommen werden und auch beantwortet werden. Jetzt ist es aber so das die Firewall plötzlich nach einiger Zeit keine Anfragen mehr von der ext IP annimmt wenn nur noch die Route existiert. Lege ich den Alias wieder an und lösche Ihn wieder funktioniert es kurzzeitig wieder ohne Probleme.
Ich weiß selber nicht warum und was ich da falsch mache. Würde mich freuen wenn mir da jemand helfen könnte.

Ihr habt mir bis jetzt aber schon sehr weitergeholfen. Vielen Dank dafür.

Vielen Dank für eure Antworten.

Ja das stimmt aber diese eine Software will unbedingt die IP Adresse über die die User von extern Benutzen direkt auf dem Server Interface haben ansonsten läuft Sie laut des Herstellers nicht. Ich werde mal prüfen ob IP Binding oder DNS Rewrites vielleicht weiterhelfen. Böse Umwege und Gebastel möchte ich nicht soll ein stabiles System bleiben.

Hallo zusammen,

ich benötige in einer VM eine externe IP aus meinem WAN Subnetz. Die Firewall ist als HA Cluster eingerichtet.
Ohne HA Cluster hätte ich jetzt eine Bridge mit der Schnittstelle WAN und der Schnittstelle für die VM angelegt. Ich gehe davon aus das das beim Cluster nicht geht weil die Bridge wäre ja nicht HA. Vielleicht mach ich da aber auch einen Denkfehler.  Die Software in der VM braucht die externe IP unbedingt auf dem interface der VM. Bräuchte die Software nicht direkt die externe IP auf dem Interface der VM hätte ich das per Portweiterleitung gelöst da wir nur Port 443 brauchen.

Hat jemand eine Idee wie ich das umsetze?

Vielen Dank für euere Antworten.

Hallo zusammen,

ich habe auf meinem WAN CARP 8 IP Aliase. Wenn ich jetzt einen weiteren IP Alias anlege und den HA Sync auf die Backup Firewall mache stehen beide WAN CARPs auf Master. Entferne ich den zuvor angelegten IP Alias wieder ist alles wieder ok.

Jetzt habe ich mal das CARP Sync im HA deaktiviert. Lege ich jetzt auf beiden Firewalls den IP Alias an funktioniert alles ohne Probleme. Wie kann das sein? Der Sync macht doch nix anderes als das was ich mache wenn ich es selber anlege zudem hat das früher ohne Probleme funktioniert. Wäre dankbar wenn mir hier jemand weiterhelfen kann.

Vielen Dank schonmal für euere Antworten.

Hallo,

ich habe ähnliches vor aber habe zwei opnsense Systeme.

Zu deinem ersten Problem das der VPN nicht dauerhaft besteht: Das wird denke ich wohl an der FritzBox liegen. Diese wird den Tunnel schließen sobald keine Daten mehr gesendet werden. FritzBox kann VPN nicht wirklich gut. Wenn deine FritzBox nur mit SHA1 eine Verbindung aufbaut würde ich dir eh davon abraten die FritzBox als VPN Server zu benutzen.

Zu deinem zweiten Problem. Über das Web GUI der Ping wird nur funktionieren, wenn du das LAN Netzwerk auswählst,
da dieses dann Quelle des Pings ist: ping -s `DEIN QUELLNETZWERK` -c `DEIN ZIELNETZWERK`
Bei Default ist die Quelle die WAN Adresse.
Wenn du die Ausgabe der opnsense beobachtest siehst du auch das dort kein -s benutzt wird.

Und genau da ist das Problem weswegen die Portweiterleitung so nicht funktionieren. Genau dazu suche ich auch die Lösung.

Villeicht weiß hier ja jemand was eingestellt werden muss damit die Firewall weiß, wenn die Zieladresse der Portweiterleitung das VPN Netzwerk ist dieses auch zum VPN Netzwerk geschickt wird und nicht übers WAN Interface?

Zu deinem dritten Problem: Das hört sich für mich nach falsch konfigurierten oder fehlenden Firewall Regeln der VPN Verbindung an. Prüfe das doch mal: https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html


Grüße und vielen Dank schonmal wenn jemand die Lösung für die Portweiterleitung über VPN kennt. :-)

Hallo,

vielen Dank.

Hat mit BINAT geklappt. Läuft sauber auf beiden Seiten.

Da ich das Problem dringend lösen muss habe ich heute mal ein Upgrade auf 19.7.10 durchgeführt. Es läuft auch alles wie vorher. Der Fehler ist aber leider weiterhin vorhanden das ich keine neue VPN Verbindung funktionsfähig anlegen kann.

Es wurde am Anfang eine IKEv2 Verbindung angelegt und danach eine IKEv1. Seitdem wurde ca 1 Jahr nichts geändert. Wenn ich jetzt eine weitere Verbindung anlege kommt im log immer no IKE config found.

Ich würde mich sehr über eure Hilfe freuen.

Hallo zusammen,

ich habe auf meinem HA Cluster mit 19.1.9 das Problem, wenn ich eine IPsec Site to Site Verbindung einrichte diese nicht in der Lage ist eine Verbindung aufzubauen. Unter Statusübersicht erscheint die Verbindung erst gar nicht. Wenn ich von der gegen Seite die Verbindung aus anstoße dann sagt meine Firewall no IKE config found.

Hat jemand eine Idee warum ich kein IPsec Tunnel mehr anlegen kann und wie ich das Problem löse?

Meine beiden bereits vorhandenen seit 1 Jahr eingerichteten Tunnel funktionieren noch.

Hallo zusammen,

ich muss zwei gleiche Netze per VPN miteinander Verbinden.
Damit das klappt benötigt man ja ein Transfernetz.

Wie setze ich das bei der OPNsense um?

Bei einer anderen Firewall kann ich sowas mit netmap umsetzen. Gibt es sowas auch bei OPNsens?

Vielen Dank für eure Antworten.

Hallo zusammen,

ich habe per Client-spezifische Konfiguration versucht einem VPN User eine feste IP Adresse zuzweisen. Leider klappt das nicht die Einstellungen aus Client-spezifische Konfiguration kommen nicht beim User an.

Ich habe beim Common Name den Namen des Zertifikates des Users eingetragen.

Hat jemand eine Idee woran es liegt das der User die Client-spezifische Konfiguration nicht bekommt?

Vielen Dank für eure Hilfe.

Hallo Franco,

vielen Dank für deine Antwort.

Wie stelle ich dann sicher das bei einem Ausfall oder wenn der Wartungsmodus aktiviert wird der IPsec auf der Backup Firewall auch einen Connect der VPN Verbindung durchführt und bei einem schwenk zurück auf die Master Firewall einen disconnect durchführt?

Wenn ich mein OPNsense Cluster per IPsec VPN mit einer Standalone OPNsense verbinde, wird bei einem komplett Ausfall des Master kein Connect auf der Backup Firewall durchgeführt. Diesen muss ich manuell machen. Wenn die Master Firewall wieder gestartet wird stellt diese wiederum ein Connect her. Laut Statusübersicht bleibt die VPN Verbindung aber trotzdem auf der Backup Firewall aber verbunden.

Sollten den die Firewalls aus dem Cluster die Verbindung aktiv herstellen oder sollten diese nur Antworten?

Was ich noch festgestellt habe für OpenVPN gibt es ein Script wenn es ein CARP Master/Backup event gibt für IPsec fehlt dieses.

Das Script liegt unter: /usr/local/etc/rc.syshook.d/carp/

Das OpenVPN Script startet und stopt den OpenVPN Server je nach CARP Status.

Gibt es so ein Script auf für IPsec?

@mimugmail Ja im Wartungsmodus steht umgehend auf dem WAN interface der primären Firewall BACKUP.

@JeGr Nein IPSec wird nicht gestoppt/restartet auf der primären Firewall, wenn Sie zur BACKUP wird. Es wäre toll wenn die Firewall das tun würde. Vielen Dank für den Parameter.

OpenVPN funktioniert mit Keepalive auch mittlerweile Fehlerfrei beim umschalten.