Messages

466

German - Deutsch / Re: Verständisfrage Hochverfügbarkeit

« on: May 15, 2019, 09:32:50 am »

Wie so oft sitzt der Fehler ca. 30 cm vorm Bildschirm...


Habe aufm Backup vergessen den Haken zu setzten dass er die States Synchronisiert...
Bzw. weniger vergessen sondern eher nicht getraut, da man bei der ConfigSync dies ja nicht machen soll.... Naja bei den States somit schon... Somit stimmen zumindest mal die Sync Einträge links run rechts.
Werde nun irgendwann nachts mal testen müssen ob es auch so funktioniert wie ich mir das dann nun denke

467

German - Deutsch / Re: Verständisfrage Hochverfügbarkeit

« on: May 15, 2019, 08:22:10 am »

Also was ich gerade mal rausgefunden habe ist, dass man die pfSync nodes anschauen kann unter "Firewall -> Virtual IPs -> Status"


Hier zeigt mir unsere Haupt OPNsense folgendes an:

Code: [Select]

71840a21
c8ac2071
223bdeb3
1be4cab2
1801b97c
6822034b
c0b578a5
969bba25
3605d97f
83c05f6e


und unsere Backup:

Code: [Select]

b1e11812
9671dbbd
bb7f1d94
e923e143


Laut Forum von Netgate sollten jedoch bei beiden das gleiche Angezeigt werden... Ist hier der Hund begraben?

468

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 15, 2019, 06:16:48 am »

Guten Morgen

Kannst du bitte nochmals die Textbasierte Config hochladen? Finde jetzt so an sich eigentlich keinen Fehler mehr...

Evtl. Auch noch die log wenn du probierst darauf zu zugreifen?


Zeigt der Syntax test irgendwelche Fehler an?

Grüße

Gesendet von meinem LG-H815 mit Tapatalk

469

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 14, 2019, 10:26:17 pm »

Ich glaube da sind zwei Fehler drin:
Einmal in den Regeln und einmal in den Frontends.
Du braucht für beide Backends nur ein Frontend Also bitte eines der Beiden löschen.
Bei dem Frontend was du behälst, bitte beide (!) Regeln hinzufügen.


Zum "Fehler" deiner Rule:Der Fehler liegt in der "logik" deiner Rule.

Du willst durch die Rule erreichen,dass ein spezieller BackendPool benutzt wird?
Falls ja:
Nimm bei "Execute Funktion" -> "Use specific Backend Pool" und wähle dann unten drunter bei "Use backend Pool" deinen Pool aus. Ist die erste Option in der riesigen Auswahlliste... Es kan bisher einmal bei mir vor, dass aufgrund von blöden Bildschirmeinstellungen diese Option oben "versteckt" war... dann halt die Pfeiltasten benutzen
Falls nein: Erklär mir bitte nochmals was du vor hast


Falls dem so ist, sollte es dann funktionieren.

EDIT: Noch was gefunden in deiner Condition:
Änder mal von "Host contains" nach "Host matches"

470

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 14, 2019, 09:02:36 pm »

Oh    da hab ich wohl etwas vertauscht *lach*
Sorry

471

German - Deutsch / Re: Verständisfrage Hochverfügbarkeit

« on: May 14, 2019, 08:01:40 pm »

Mhmm okay.. Dann ist da wohl irgendwas nicht ganz koscher....
Also das die Anwendungen sooo sensibel sind wären mir neu...


Dann nun die große Frage... Was wäre das beste vorgehen um den Fehler zu finden?


Hier mal die Settings der HauptFW:

Code: [Select]

Virtual IP address                          Interface  Type   Description
10.100.100.1/24   (vhid 100 , freq. 1 / 0)  VLAN100    CARP   VLAN100 VIP
10.100.200.1/24   (vhid 200 , freq. 1 / 0)  VLAN200    CARP   VLAN200 VIP
1.2.3.82/28       (vhid 1 ,   freq. 1 / 0)  WAN        CARP   VIP .82
1.2.3.86/28       (vhid 5 ,   freq. 1 / 0)  WAN        CARP   VIP .86
1.2.3.87/28       (vhid 6 ,   freq. 1 / 0)  WAN        CARP   VIP .87
1.2.3.88/28       (vhid 7 ,   freq. 1 / 0)  WAN        CARP   VIP .88
1.2.3.89/28       (vhid 8 ,   freq. 1 / 0)  WAN        CARP   VIP .89
1.2.3.90/28       (vhid 9 ,   freq. 1 / 0)  WAN        CARP   VIP .90
1.2.3.91/28       (vhid 10 ,  freq. 1 / 0)  WAN        CARP   VIP .91
1.2.3.92/28       (vhid 11 ,  freq. 1 / 0)  WAN        CARP   VIP .92
1.2.3.93/28       (vhid 12 ,  freq. 1 / 0)  WAN        CARP   VIP .93
1.2.3.94/28       (vhid 13 ,  freq. 1 / 0)  WAN        CARP   VIP .94
172.20.1.4/24     (vhid 21 ,  freq. 1 / 0)  DMZ011     CARP   DMZ11   VIP 172.20.1.4
172.20.20.4/24    (vhid 22 ,  freq. 1 / 0)  DMZ012     CARP   DMZ12   VIP 172.20.20.4
172.20.2.4/24     (vhid 23 ,  freq. 1 / 0)  DMZ013     CARP   DMZ013  VIP 172.20.2.4
10.0.100.1/24     (vhid 41 ,  freq. 1 / 0)  VLAN001    CARP   VLAN001 VIP 10.0.100.1
10.100.50.1/23    (vhid 50 ,  freq. 1 / 0)  VLAN050    CARP   VLAN050 VIP 10.100.50.1
10.100.60.1/24    (vhid 60 ,  freq. 1 / 0)  VLAN060    CARP   VLAN060 VIP 10.100.60.1
172.21.0.4/24     (vhid 110 , freq. 1 / 0)  VLAN110    CARP   VLAN110 VIP 172.21.0.4
172.29.29.1/24    (vhid 114 , freq. 1 / 0)  VLAN114    CARP   VLAN114 VIP 172.29.29.1
10.100.112.1/24   (vhid 112 , freq. 1 / 0)  VLAN112    CARP   VLAN112 VIP 10.100.112.1
10.100.120.1/24   (vhid 120 , freq. 1 / 0)  VLAN120    CARP   VLAN120 VIP 10.100.120.1
10.100.113.1/27   (vhid 113 , freq. 1 / 0)  VLAN113    CARP   VLAN113 VIP 10.100.113.1
5.6.7.33/29       (vhid 40 ,  freq. 1 / 0)  VLAN400    CARP



Es ist ein VLAN Interface welches für den Sync zuständig ist. Auf beiden Seiten eine komplette ANY Regel eingerichtet. Wird allerdings innerhalb der nächsten Wochen ein eigenes Hardware Interface (da neue Hardware) bekommen.
Aktuell hat die FW 3 Interfaces... Eine jeweils für WAN, LAN und DMZ.
LAN dementsprechend mit 11 VLANs.


Der Regelsync funktioniert sauber und ohne Probleme.
Habe beim den "HA Einstellungen" alles ausgewählt. (Macht das vielleicht Probleme?)




Wie kontrolliere ich am besten den State Sync?


Der ganze Spaß hängt zudem an einem managebaren Switch... Muss man hier noch was einstellen damit der das richtig verarbeitet?

Danke schonmals
Grüße
superwinni2

472

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 14, 2019, 03:40:14 pm »

Hallo Thomas


sei mir bitte nicht böse aber es wäre echt sehr sehr hilfreich einfach deine Config zu posten.
Habe keine Lust in der Anleitung den Fehler zu erahnen....
Da sieht man direkt wenn was falsch eingestellt ist oder nicht....
(Nachher ist etwas eben falsch eingestellt weil du eben dieses SSL Offloading weggelassen hast)


Grüße

473

German - Deutsch / Re: HAProxy: Rule Verständnisfrage

« on: May 14, 2019, 01:51:23 pm »

Hallo ThomasH


hast du die Rules auch dem Frontend zugeordnet?


Ansonsten führe mal bitte folgenden Befehl auf deiner OPNsense aus und Poste den Output. Dann sehen wir was du wie konfiguriert hast:

Code: [Select]

cat /usr/local/etc/haproxy.conf

474

German - Deutsch / [Solved] Verständisfrage Hochverfügbarkeit

« on: May 14, 2019, 01:48:02 pm »

Hallo zusammen


ich habe eine kleine Frage zwecks Hochverfügbarkeit.....
Ich habe hier 2 OPNsense im HA (mit CARP Interfaces)
Auf dem einen (Client) Netzwerk ein CARP mit der virtuellen IP 192.168.1.1 und auf der (Server) ebenso mit der virtuellen IP Adresse 192.168.2.1
Die OPNsense selbst haben die .2 oder .3 am Ende.
Routing, Connections, Verbindungen etc... Alles funktioniert.


Nun habe ich Programme bzw. Anwendungen die eine Telnet Verbindung von Client zu Server aufbauen. (Telnet, MSSQL etc)


Wenn mir nun eine OPNsense "wegfliegt" und das HA übernimmt fliegen all diese verbindungen "weg". Klar ich kann sie so gut wie sofort wieder erneut aufbauen. Was jedoch aufgrund der Anwendung nicht gerade sonderlich "toll" ist falls man beispielsweise gerade einen großen und langen SQL Befehl ausführt.


Ist dies normal? Kann man das irgendwie "verbessern"?


Danke schonmals


Grüße
superwinni2

475

German - Deutsch / Re: Mobile User OpenVPN zugriff auf netze die mit IPSec verbunden sind

« on: April 30, 2019, 07:07:48 am »

192.168.3          192.168.254.13     UGSc            1        2   utun4
192.168.180        192.168.254.13     UGSc            0      154   utun4

...



ein traceroute auf dem mac:
traceroute 192.168.180.1
traceroute to 192.168.180.1 (192.168.180.1), 64 hops max, 52 byte packets
 1  192.168.254.1 (192.168.254.1)  45.146 ms  44.688 ms  50.892 ms
 2  62.x... (62.x....)  51.253 ms !N  56.655 ms !N  47.986 ms !N

irgend wie nimmt er dann meine externe ip
muss ich nochwas in den firewall regeln einstellen?

Also in deiner routentablle sieht es irgendwie nicht richtig aus... entweder soltle da mindestens eine IP oder (so wie du es glaube ich möchtest) ein netzwerkbereich an erster stelle stehen....
[Oder hast du etwa ausgrunden der privatsphäre hier etwas gelöscht? Das wäre unnötig, da es ja nen privater Adressberech wäre und dadurch niemand auf dich schließen lässt...]
Daher nimmt er auch nicht den richtigen Weg wenn du die IP anpingen möchtest....
Weiß leider nicht ausm Kopf wie man Routen beim Mac hinzufügt... villeicht auch mit "ip route" oder sowas?
Ansonsten halt mal probieren die gewünschte Route von Hand anzulegen während die verbindung bereits besteht...

476

German - Deutsch / Re: IPSec VPN -> 1:1 NAT? Oder was anderes?

« on: April 30, 2019, 06:48:08 am »

Now I get it! Die beiden identischen Netze sollen nicht verbunden werden mit IPsec, es gibt nur ein weiteres (!), identisches Netz auf der anderen Seite...

Genau

Tschuldigung fürs blöd ausdrücken...

477

German - Deutsch / Re: Mobile User OpenVPN zugriff auf netze die mit IPSec verbunden sind

« on: April 29, 2019, 05:01:06 pm »

Beim OPENVPN Server bei IPv4 Local Network alle Netzwerke eintragen welche durch die VPN Verbindung sollen (Somit dein Netz zuhause und die IPSec Netze. Durch Komma trennen)
Das push bei den Advanced einstellungen raus nehmen.
Dann würde ich es nochmals testen

478

German - Deutsch / Re: IPSec VPN -> 1:1 NAT? Oder was anderes?

« on: April 29, 2019, 03:47:57 pm »

Kommt drauf an, in einem Heimnetzwerk ist es die einfachste Lösung, in einem Firmennetzwerke nicht praktikabel denn es können Server Dienste laufen und das umkonfigurieren ist nicht schön und kann einiges an Probleme machen.

Hier hast du den Nagel auf den Kopf getroffen 

Ich bin der Meinung das es schon öfter vorkam die Frage

Ja ich auch... Aber finde leider nichts mehr... Oder bin zu blöd es zu finden...

479

German - Deutsch / Re: IPSec VPN -> 1:1 NAT? Oder was anderes?

« on: April 29, 2019, 03:45:51 pm »

Klar klappt das... Hatte das doch auch mit der alten Firewall am laufen und hat geklapt   
Bzw. es läuft aktuell noch aber soll in nächster Zeit abgelöst werden 


Da die alte FW jedoch mehr oder weniger ein Schloss mit sieben Siegeln ist kann ich da auch nicht wirklich viel auslesen... Klar die Definitionen der VPN habe ich, und die NAT einstellungen kann ich ebenfalls einsehen.. Aber ob das die OPNsense das genau so macht wie die alte FW ist eben fraglich...
Vorallem da bei mir die OPNsense das komplette Routing übernimmt was die alte FW eben weniger gemacht hat...Und bevor ich stundenlang herumprobiere hatte ich hier die Antwort "Klar trag das bei dem Forwardiung ein und das bei der IPSec Verbindung und fertig" erhofft... 


Deswegen hier die Frage 

480

German - Deutsch / Re: IPSec VPN -> 1:1 NAT? Oder was anderes?

« on: April 29, 2019, 03:29:48 pm »

Na ganz einfach.. Die andere Seite hat ebenfalls ein privates Netz mit dem Berech 10.10.10.0/24


Wenn die andere Seite nun die IP 10.10.10.50 aufruft so landet sie auf deren .50 Server und nicht auf meinem welcher durch die VPN gehen soll.
Deswegen würde ich die VPN gerne so einrichten, dass wenn die andere Seite die IP 172.20.10.50 aufruft sozusagen zu mir kommt und dies dann passend bei mir zurückgenattet wird.