HA-Cluster - Webinterface nur des Masters erreichbar

[puseidr]

Hallo,
in meinem HA-Cluster ist mir aufgefallen, dass das Webinterface immer nur auf der Master-FW erreichbar ist.

Beispiel:
FW1-LAN-IP 192.168.100.11
FW2-LAN-IP 192.168.100.12
Virtuelle LAN-IP 192.168.100.1 (CARP)

per Ping sind alle 3 IPs erreichbar, wenn ich mit nmap einen Portscan mach ist nur auf den IPs 192.168.100.1 und 192.168.100.11 das Webinterface auf Port 443 erreichbar, auf der 192.168.100.12 is alles dicht.

Wenn ich nun auf der FW1 das CARP deaktiviere wandert die IP 192.168.100.1 auf die FW2, und dann komm ich über die 192.168.100.12  sowie 192.168.100.1 auf das Webinterface die FW2, allerdings komm ich nie zeitgleich auf das Webinterface der FW1 UND FW2.

Hab ich da was falsch konfiguriert oder ist das Verhalten gewollt? Ich würde halt beim Updaten der FW erstmal die Backup-FW patchen anstatt die, die Master der ganzen vIPs ist.

[Patrick M. Hausen]

Ich komme über die individuellen IP-Adressen auf Master und Backup und über die CARP-Adresse auf den Master.
Ich habe allerdings die Anti-Lockout NAT-Regel deaktiviert und benutze einfache Firewall-Regeln für den Zugriff auf die Oberfläche. Hab ehrlich gesagt, nicht verstanden, was diese NAT-Regel macht. Passende "allow" für Port 443 und es funktioniert wie erwartet.

[puseidr]

Ich habs

Ich hatte die automatische Lockout Regel nachgebaut und hatte da als Destination "This Firewall" stehen, habe jetzt die Regel so angepasst dass alle 3 IPs als Destination drin stehen (über ein Alias) und zack schon gehts!

[chemlud]

...ich verstehe nicht wirklich, warum man den "Inhalt" des Alias "This Firewall" nicht unter Firewall -> Diagnostics -> Aliases einsehen kann.

[JeGr]

Moin,

weil "This Firewall" in pf Syntax in "(self)" übersetzt wird. Self ist ein spezifisches pf Keyword das im Filter selbst definiert ist. Das hat an der Stelle wenig mit OPNsense o.ä. zu tun, sondern ist - wie in der Doku auch beschrieben - ein Platzhalter für ALLE auf der Firewall hinterlegten Adressen die sie aktuell inne hat.

Genauer: https://man.openbsd.org/pf.conf#self

self: Expands to all addresses assigned to all interfaces.

Vielleicht erklärt es das etwas besser. Darum ist (self) bzw. This Firewall durchaus eine gute Variante in Clustern, da sie nach dem Sync auf der entsprechenden Firewall trotzdem korrekt auf "sich selbst" auflöst. Nur muss man dann daran denken, dass je nach Regel und woher/wohin man diese definiert, mit "This Firewall" ggf. mehr geöffnet wird als man möchte.

Cheers