High Availability (CARP)

[kosta]

Hallo,

ich lese gerade über CARP (HA) und überlege bei mir zu Hause zu implementieren.

Macht es Sinn eine VM als HA zu der HW-Firewall aufzuziehen und diese im HA Modus zu betreiben? Meine HW-Firewall hatte bisher in vielen Jahren nur einen Ausfall (CPU-Lüfter den Geist aufgegeben). Nicht jetzt wirklich so wichtig, auch wenn wir 1-2 Tage keinen Internet haben, bis der neue Lüfter ankommt, aber wenn schon als VM möglich, warum nicht.
Weiterhin, wäre es vom Vorteil HA zu haben wenn man eine Wartung auf der Haupt-Firewall durchführt, indem das Netzwerk nicht offline geht? Meine Frau arbeitet oft per RDP in der Firma am WTS und schimpft mich wenn ich die Firewall neustarte ;-)

Danke

[mimugmail]

Grundsätzlich funktioniert es, aber ich würde das nur manuell schwenken. Die Namen der Interfaces unterscheiden sich, das macht nur Ärger

[kosta]

OK, ich bin gerade dabei das Kapitel im Buch zu lesen, deswegen bin ich auf den Gedanken gekommen...
Wenn schon manueller Switch, dann kann ich das vorher machen, Wartung auf der Haupt-FW durchführen, neustarten, retour switchen, und alles gut?

[mimugmail]

Ich würde eher eine VM vorhalten und hin und wieder config einspielen .. also ganz ohne CARP oder Sync

[kosta]

Ah OK. Was aber die Absicht HA und CARP in einer Echtumgebung tötet...  ;D
Aber danke, werde mir die Konfiguration ansehen.

[mimugmail]

Deswegen gibt's in der Doku ne Warnung dass das Mischen nicht empfohlen ist :)

[lfirewall1243]

Ah OK. Was aber die Absicht HA und CARP in einer Echtumgebung tötet...  ;D
Aber danke, werde mir die Konfiguration ansehen.

In einer Echtumgebung wird in der Regel mehrfach gleich Hardware verwendet.

[kosta]

Das hatte ich auch vermutet. Deswegen habe ich auch gefragt ob das Sinn mit HW/VM hat. Sonst muss ich mir gar keine Mühe außerhalb des Labors machen.

[lfirewall1243]

Das hatte ich auch vermutet. Deswegen habe ich auch gefragt ob das Sinn mit HW/VM hat. Sonst muss ich mir gar keine Mühe außerhalb des Labors machen.

Du könntest deine Interfaces umbenennen so dass diese gleich sind.

[kosta]

Ah danke. Ich vermute du meinst nach der OPNsense Installation auf der Konsole?

[lfirewall1243]

Ah danke. Ich vermute du meinst nach der OPNsense Installation auf der Konsole?

Genau

[kosta]

Perfekt, danke.

[JeGr]

Ist aber trotzdem ziemliches Gefriemel und zumindest mir bei einem Kunden schonmal knackig um die Ohren geflogen (hatte der Kunde eingerichtet, nicht wir ;D ). Daher weise ich da ständig bei Anfragen, Aufträgen, Workshops etc. immer wieder drauf hin - lasst es einfach bleiben, CARP+HA auf zwei völlig unterschiedlichen Systemen zu machen. Und unterschiedlicher als HW und VM auf Hypervisor geht es kaum ;)

Bin da ganz bei @mimugmail, wenn in der Konstellation, dann als Cold-Standby mit manuellem Konfig-Einspielen und notfalls dann eben VM hochfahren. Erspart dann auch Sucherei bei Problemen mit CARP bzw. Multicasts und warum die HW die VM ggf. nicht erreichen kann oder man plötzlich Split Brains hat etc. drektc.

Cheers
\jens