Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
CARP-Protokoll auf allen HA-Interfaces erlauben oder nur auf PFSYNC-Interface
« previous
next »
Print
Pages: [
1
]
Author
Topic: CARP-Protokoll auf allen HA-Interfaces erlauben oder nur auf PFSYNC-Interface (Read 1259 times)
mscd
Newbie
Posts: 39
Karma: 0
CARP-Protokoll auf allen HA-Interfaces erlauben oder nur auf PFSYNC-Interface
«
on:
July 11, 2021, 04:01:58 pm »
Hallo zusammen,
ich betreibe zwei OPNsense-Appliances im HA-Verbund über CARP. Die PFSYNC-Leitung ist hierbei eine direkte Verbindung zwischen Firewall A und Firewall B, wobei auf dem zugehörigen Interface eine "allow-ANY-Regel" im Firewall-Ruleset hinterlegt ist.
Mir ist gerade unklar, ob ich hierbei noch zusätzlich für jedes weitere Interface, welches ich per CARP (und virtueller IP) hochverfügbar machen will, noch eine ALLOW-ANY-Regel für das CARP-Protokoll hinterlegen muss. Da ich mit mehreren VLANS arbeite, habe ich derzeit eine Interface-Gruppe angelegt ... darauf dann im Firewall-Ruleset "Allow CARP from ANY to ANY".
Da ich gerne unnötige Regeln vermeiden möchte, stellt sich für mich die Frage, ob bei eigenständiger/dedizierter PFSYNC-Leitung überhaupt noch CARP-Traffic auf den anderen Interfaces läuft und welche Regeln hier entsprechend zu pflegen sind.
In der HA-Doku der pfSense kann ich - komischer Weise - nämlich keinen Hinweise auf entsprechende Firewall-Regeln für die CARP-Interfaces finden.
Schöne Grüße und Dank,
mscd
«
Last Edit: July 11, 2021, 04:04:15 pm by mscd
»
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: CARP-Protokoll auf allen HA-Interfaces erlauben oder nur auf PFSYNC-Interface
«
Reply #1 on:
July 11, 2021, 04:11:11 pm »
Schau ma in floating rules die autogenerated rules an, da ist CARP überall rein und raus erlaubt. Musst nix machen
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
mscd
Newbie
Posts: 39
Karma: 0
Re: CARP-Protokoll auf allen HA-Interfaces erlauben oder nur auf PFSYNC-Interface
«
Reply #2 on:
July 11, 2021, 04:21:48 pm »
OK, Danke ... sehe es gerade ... passt aber dann z.B. nicht so sauber zur Doku hier:
https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten#Konfiguration
bzw.
https://docs.opnsense.org/manual/how-tos/carp.html#setup-interfaces-basic-firewall-rules
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: CARP-Protokoll auf allen HA-Interfaces erlauben oder nur auf PFSYNC-Interface
«
Reply #3 on:
July 11, 2021, 06:18:50 pm »
Ja, ist nicht mehr aktuell. Da könnte man mal n Update machen
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
CARP-Protokoll auf allen HA-Interfaces erlauben oder nur auf PFSYNC-Interface