CARP-Protokoll auf allen HA-Interfaces erlauben oder nur auf PFSYNC-Interface

[mscd]

Hallo zusammen,

ich betreibe zwei OPNsense-Appliances im HA-Verbund über CARP. Die PFSYNC-Leitung ist hierbei eine direkte Verbindung zwischen Firewall A und Firewall B, wobei auf dem zugehörigen Interface eine "allow-ANY-Regel" im Firewall-Ruleset hinterlegt ist.
Mir ist gerade unklar, ob ich hierbei noch zusätzlich für jedes weitere Interface, welches ich per CARP (und virtueller IP) hochverfügbar machen will, noch eine ALLOW-ANY-Regel für das CARP-Protokoll hinterlegen muss. Da ich mit mehreren VLANS arbeite, habe ich derzeit eine Interface-Gruppe angelegt ... darauf dann im Firewall-Ruleset "Allow CARP from ANY to ANY".
Da ich gerne unnötige Regeln vermeiden möchte, stellt sich für mich die Frage, ob bei eigenständiger/dedizierter PFSYNC-Leitung überhaupt noch CARP-Traffic auf den anderen Interfaces läuft und welche Regeln hier entsprechend zu pflegen sind.
In der HA-Doku der pfSense kann ich - komischer Weise - nämlich keinen Hinweise auf entsprechende Firewall-Regeln für die CARP-Interfaces finden.

Schöne Grüße und Dank,
mscd

[mimugmail]

Schau ma in floating rules die autogenerated rules an, da ist CARP überall rein und raus erlaubt. Musst nix machen

[mscd]

OK, Danke ... sehe es gerade ... passt aber dann z.B. nicht so sauber zur Doku hier:

https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten#Konfiguration

bzw.

https://docs.opnsense.org/manual/how-tos/carp.html#setup-interfaces-basic-firewall-rules

[mimugmail]

Ja, ist nicht mehr aktuell. Da könnte man mal n Update machen