High Availibility und WAN

[aeschma]

Hallo,
ich bin mich momentran mit dem Thema "High Availibilty" am beschäftigen. Was mir jedoch unklar ist, wie ich meine 2 WAN an die 2 OPNsense's anschließe. Glaube nicht das hier ein normaler Switch funktioniert, um z.B. ein Glasfasermodem im Bridge-Modus an 2 Firewalls anzuschließen.

Hier mal wie ich denke das es sein sollte. Beide WAN Anschlüsse an beide OPNsense's. Aber wie schließe ich ein Modem an 2 Firewalls????

Code Select Expand



                WAN                           WAN
                 :                            :
                 : Kabeldeutschland          : Glasfaser-Provider
                 :                           :
             .---+---.                .--+--.
         Kabelmodem |                / Modem Glasfaser zu Ethernet
             '---+---'     \       /       '--+--'
                 |          \ ????/       |
                              \   /          |
                 |             / \          |
            .----+----.     /     \ .----+----.
            | OPNsense1 |         | OPNSense2 |
            '----+----'              '----+----'
                   |                    |
                   |                    |
                   |      .----------.   |
                 +------| Virituelle OPNsense |------+
     


[hsiewert]

Hallo aeschma,

ist das ein Glasfasermodem oder ein Router eines Netzbetreibers ?

[aeschma]

Ist ein Router des Netzbetreibers ....

[hsiewert]

Hallo aeschma,

Du brauchst zwischen dem Kabelmodem und beiden opnSense-Knoten einen Switch, selbiges zwischen Router FW. Dann schaust Du Dir das Thema "carp" an.  https://docs.opnsense.org/manual/how-tos/carp.html?highlight=carp

Das Kabelmodem schaltest du, nach Möglichkeit in Bridge-Mode ('ne Fritz-Box z.B. kann sowas). Du wirst je FW auf diesem Interface eine andere IP-Adresse erhalten, also hier nicht wundern.

Dein Glas-Netzbetreiber hat dir vermutlich einen NW-Bereich genannt. Du erstellst ein CARP-Interface und lässt es "routen".

Je ein günstiger Netgear/D-link/HP/etc. ohne Management reich völlig.

Grüßle

[rainerle]

Wenn man über HA redet sollte man vielleicht eher einen VLAN-fähigen Switchcluster bauen.

Ein Uplink in den einen Switch, ein Uplink in den anderen.

Weil wenn der Switch ausfällt, helfen beide Uplinks nicht mehr. Und die Switche sind nicht so teuer wie zwei Uplinks zu bezahlen...

So ein HPE 1820 24G ist nicht teuer...

Und dann baut man das wie hier im Bild

[JeGr]

@rainerle
Hast du sicher recht, aber ist für 2x WAN in kleinen Setups trotzdem Overkill.

Meist steht da ja ne Providerbox die eh schon nen Switch integriert hat oder zumindest 2-4 Ports.

Wenn Kabelmodem bzw. anderes Modem wirklich reine Modems sind, muss da sinnvollerweise nen Router für hin. Wenn das aber eh schon Router des Providers sind wie der OP nachher schreibt, sollte das ja problemlos gehen. Ansonsten kleinen Switch 8Port mit VLAN und dort je ein Modem auf ein einen Port mit VLAN untagged (10/20) und die Sensen dann an einen Trunk Port und die WANs als VLANs. Alternativ für einfacheres debuggen einfach zwei Kabel pro Kiste in Switch und die Ports wieder untagged 10/20 machen. Bei 8 Ports kann man dann 1-4 VLAN10 und 5-8 VLAN20 bpsw. taggen und hat das schön getrennt.

Wichtig ist dass die Sensen nicht die Einwahl (PPPoX) machen, sondern das die Router vornedran des Providers tun, ansonsten hat man immer das Problem dass die Standby Firewall keinen sauberen Failover machen kann weil IMMER die Verbindungen abreißen werden (weil sie erst die Verbindung neu aufmachen muss).

Grüße
\jens

[mimugmail]

Wichtig ist dass die Sensen nicht die Einwahl (PPPoX) machen, sondern das die Router vornedran des Providers tun, ansonsten hat man immer das Problem dass die Standby Firewall keinen sauberen Failover machen kann weil IMMER die Verbindungen abreißen werden (weil sie erst die Verbindung neu aufmachen muss).

Grüße
\jens

OFFTOPIC:
Hast du eigentlich den pppoe CARP patch von PiBa-NL in pfSense mal probiert? Taugt das was?
Ad hatte da mal was Ähnliches programmiert, ist aber nicht in stable und war bei meinen Tests auch nicht wirklich stabil

[JeGr]

OFFTOPIC:
Hast du eigentlich den pppoe CARP patch von PiBa-NL in pfSense mal probiert? Taugt das was?
Ad hatte da mal was Ähnliches programmiert, ist aber nicht in stable und war bei meinen Tests auch nicht wirklich stabil

Wenn du mir kurz auf die Sprünge hilfst was der tut/tun sollte? :) Ich hatte eigentlich nie einen Patch gebraucht, PPPoE direkt auf dem CARP ist aber auch ein Setup was ich/wir meistens zu vermeiden suchen aus diversen Gründen ;) Aber das funktionierte bei meinem letzten Test eigentlich ganz OK-ish in den Grenzen des Machbaren?

[mimugmail]

pppoe per CARP halt, also nur der master wählt auch die die Verbindung.
Ist das in pfSense in der stabilen Version? Ich hab vor Ewigkeiten nur den Commit gesehen, aber nie genauer angesehen.

[JeGr]

> Ist das in pfSense in der stabilen Version? Ich hab vor Ewigkeiten nur den Commit gesehen, aber nie genauer angesehen.

Ah musste nachschauen, war nicht sicher, ob PiBa da was anderes noch eingebracht hatte als das, was jetzt schon länger drin ist. Aber ja ist schon länger in stable drin seit Rel-2.4.3 in 2018, da wurde PiBas Patch nochmal rebased und ein bisschen gefeilt und dann gemerged. Ging dann ganz regulär ins Feature Freeze von 2.4.3. Vergesse nur dass 2.4.3 ja auch schon wieder ein ganzes Weilchen her ist ;) Zeit rennt...

-> https://docs.netgate.com/pfsense/en/latest/releases/2-4-3-new-features-and-changes.html#interfaces-vips
(6. Punkt)
-> https://redmine.pfsense.org/issues/8184
-> https://github.com/pfsense/pfsense/pull/3830

[rainerle]

@rainerle
Hast du sicher recht, aber ist für 2x WAN in kleinen Setups trotzdem Overkill.

Das man aus einem Switchcluster auch nur einen Switch machen kann ist hoffentlich klar.
Das man die linke und die rechte Hälfte in verschiedene Räume, Brandabschnitte oder Gebäude stellen kann sollte auch klar sein.

Die HPE 1820 sind lüfterlos, können VLAN und sind nicht teuer.
Dann kann man MultiWAN auch mit nur einer OPNsense machen.

Mir war wichtig darzustellen, wie man HA baut das auch funktioniert, wenn man es mal braucht. Ich habe HA zuvor anders gebaut und als ich es gebraucht habe, hat es eben nicht funktioniert (https://forum.opnsense.org/index.php?topic=14130 ).

[JeGr]

> Das man aus einem Switchcluster auch nur einen Switch machen kann ist hoffentlich klar.
> Das man die linke und die rechte Hälfte in verschiedene Räume, Brandabschnitte oder Gebäude stellen kann sollte auch klar sein.

Logo :)

Ich wollte damit deinen Vorschlag oder Ausführungen nicht schmälern, sondern nur darauf hinweisen, dass man auch erstmal das Vorhandene nutzen kann. Ansonsten bin ich da sehr dafür. Allerdings - auch wenn technisch völlig valide - würde ich ungern WAN und (V)LANs auf dem gleichen Switch haben. Die Gefahr, dass da durch blöden Zufall was falsch gesteckt oder konfiguriert wird, wäre mir da zu groß und plötzlich hängt ein Endgerät im VLAN von WAN2 und geht direkt ins Netz. Daher bin ich da eher ein Freund davon, Upstream Seite und LAN/Frontend getrennt zu halten :)