Vodafone Business CARP mit einer statischen IP möglich?

[NilsS]

So ich bin kurz davor den Bridgemode zu deaktiveren.
Hat jemand das hinbekommen?
Diese Vodafone Box ist echt merkwürdig. Hab auch irgendwo gelesen das trotz statischer IP die IP mit DHCP abgeholt werden MUSS.

Vorher hatte ich hier gelesen das man für die System Interfaces auch private IPs nutzen kann. Das hat auch so bedingt geklappt, die Box gibt trotz Bridgemode immer wenn kein Netz vorhanden ist per DHCP 192.168.100.x raus und hat selbst (immer) zusäzlich die .1

Wenn ich ohne VIP das so konfiguriere, dann funktioniert das auch solange die Box nicht Online geht auch, das ich wenigstens die Box mit 192.168.100.1 pingen kann. In dem Moment wenn die Box jedoch online geht ist überhaupt nix mehr möglich. Habe dann versucht die IP als VIP statisch zu zuordnen, beim Gateway war dann schon die Konfiguration komisch, da ich Far Gateway Haken setzen musste. Naja es funktionierte aber sowieso nicht.

Auch weiteres rumprobieren hat nur zu weiterer Frustration geführt.

Wenn nicht jemand ne echt tolle Idee hat, werde ich wohl oder übel auf den DoppelNAT wechseln.

PS:
Selbst die Nutzung von einem Interface über einen Switch mit DHCP ist sehr sehr merkwürdig. Da ich das Kabel im vSphere schlecht direkt reinstecken konnte (Konfig über VLANs) waren über den davor geschalteten Switch keine ordentliche Konfiguration per DHCP möglich. zumindest nicht Online.

Die privaten IPs 192.168.100.x hat er sowohl an eine als auch an zwei opnsense geliefert (natürlich auch nur einzeln getestet - anderes IF auf disabled oder auch per Konsole [down])
Sobald die Box nach Neustart aber wieder Online ist, ist keine Kommunikation mehr möglich. Vorher lies sich per telnet auch die Box Webseite abrufen.

Ich hab nachher einem USB Adapter an ein Laptop gehängt, dem die MAC von einer opnsense VM gegeben, direkt an die Vodafone Box gehängt, Public IP bekommen - zugriff auf Vodafone Box WebIF möglich - dann das Kabel wieder in den Switch und die opnsense zieht seit dem (auch nach Neustart) die IPv4 und IPv6 per DHCP.

Ist aber nicht wirklich so ausfallsicher wieder herzustellen wenn da mal was schief geht.

Daher wirds dann wohl DoppelNAT - scheint das kleinere Übel

[micneu]

In deinem Text hast du nicht wortwörtlich erwähnt das du die Sense als vm laufen lässt, ist aber richtig oder? Hast du mal versucht die Sense auf echtem Blech? Ich hatte schon die merkwürdigsten Verhalten mit virtualisierten Sense.


Gesendet von iPhone mit Tapatalk Pro

[NilsS]

jo ist richtig. sind beide VMs.
Lief vorher ohne CARP auf Hardware mit der Vodafone Leitung als Proxy zum surfen mit (seit 3 Jahren), während der Rest über zwei Sophos UTM lief. Die mag ich aber nicht und will sie jetzt auf jedenfall loswerden.

So ein paar Dinge sind aber noch nicht so ganz klar.
DHCP mit failover - bug noch irgendwie
DHCP kann keine Vendor Options
Postfix als Spamfilter
HA-Proxy mit Let's Encrypt für Active-Sync (muss LE eigentlich auf beiden Sense dann laufen oder nur auf dem Master?)

wird aber schon noch ;-)

[mimugmail]

Ich stehe auch oft vor der Problematik mit einer öffentlichen IP und HA. Am Ende lande ich immer bei privaten IPs und kein Bridge. Alles andere ist eine Hochverfügbarkeitslösung mit schlechtem Design, du wirst damit im Fehlerfall nur Ärger haben und basteln müssen

[JeGr]

> Alles andere ist eine Hochverfügbarkeitslösung mit schlechtem Design, du wirst damit im Fehlerfall nur Ärger haben und basteln müssen

Was @mimugmail schreibt. Klar kann man im CARP mit privater IP auf WAN und öffentlicher als VIP auf dem WAN arbeiten, schön isses aber nicht. Dass der Standby Node dann Verrenkungen braucht um ins Internet zu gehen, weil er eben keine routbare WAN Adresse hat, ist vom Failover Standpunkt (und was Updates angeht) schon ziemlich doof.

Bei CARP daher immer vorgeschalteter Provider Router mit exposed Host auf die (dann interne) CARP VIP und viel weniger Streß.

[NilsS]

Danke, werde ich am Montag so ändern.
Wie ist das dann mit ipv6? kann ich das dann auch noch irgendwie in Teilen nutzen?
Also das die Sense noch ne Public IP bekommt für den Proxy bekommt sollte so klappen aber das dann noch weitergeben an ein Gäste WLAN?

[micneu]

Leider verstehe ich deinen Satz nicht


Gesendet von iPad mit Tapatalk Pro

[NilsS]

Sorry,
Wenn ich den Router davor hänge bekommt der doch sowohl die IPv4 als auch die IPv6. Im LAN wird dann der IPv6 Bereich verteilt. Das ist dann in der Sense das WAN wo ich auch eine IPv6 bekomme aus dem /64. Wie kann ich dann IPv6 in dem eigentlichen LAN hinter der Sense verteilen.

Hab mich mit IPv6 bisher nicht sehr viel beschäftigt würde das aber Gästen doch gerne zur Verfügung stellen.

Vielleicht hab ich auch nur nen Denkfehler.
Ich hab jetzt einfach das WAN auf IPv6 DHCP eingestellt und im passenden Gäste LAN dann Track Interface.
Geht das auch einfach so mit einem weiteren IPv6 Netz?

[JeGr]

> auch die IPv6

Nö er bekommt eine(!) IPv6 und ggf. das Upstream /64. Wenn du Business IP hast und demzufolge statische IPv4, solltest du auch ein fixes IPv6 Prefix /56 o.ä. delegiert bekommen haben. Ist dem so? Wenn nicht, erstmal klären, sonst ist das gerade wenig zielführend

> Hab mich mit IPv6 bisher nicht sehr viel beschäftigt würde das aber Gästen doch gerne zur Verfügung stellen.

Ist die Frage ob du denen damit wirklich was Gutes tust...


> Ich hab jetzt einfach das WAN auf IPv6 DHCP eingestellt und im passenden Gäste LAN dann Track Interface.
Geht das auch einfach so mit einem weiteren IPv6 Netz?

Genau deshalb: erstmal klären ob du ein statisches Prefix bekommst bevor wir hier weiter raten.

Und am Besten gleich mitfragen bzw. nachlesen, ob die Vodafone Box/FB/whatever jetzt davorsteht IA_PD also IPv6 Prefix Delegation kann. Dann ist das nämlich gar kein großer Akt.