HA via OSPF statt CARP

Started by Benji0, August 03, 2023, 05:54:05 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 03, 2023, 05:54:05 AM
Guten Morgen,
wenn man nach OpnSense und HA sucht findet man eigentlich immer nur die Konfiguration über CARP. Wäre es nicht trotzdem möglich ein HA über OSPF zu machen. Wenn dann eine der Firewalls ausfällt, würde halt die Route einfach nicht mehr kommuniziert. Könnte das nicht sogar schneller sein, wenn die Backup-FW die VIP übernehmen muss?
August 03, 2023, 06:32:50 AM #1
Das gibt's schon, das ist die carp demote Funktion is ospf, dann sind die Kosten auf dem Backup immer höher. Musst halt in General den carp failover ausschalten (der macht die brachiale Methode)
August 03, 2023, 10:35:20 AM #2
Dazu brauchst du halt noch einen weiteren Router, der die Routen der OPNsense-Systeme per OSPF entgegen nimmt und dann bei Ausfall umschaltet. Und den brauchst du auch wieder redundant ... und wie sollen die Clients einen Ausfall eines der beiden Router mitkriegen?

CARP ist für Clients. Normale PCs sprechen kein OSPF ... nur Infrastruktur tut das.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 03, 2023, 08:21:44 PM #3
Erst mal besten Dank für die Antworten.

Um unser Szenario etwas auszuführen:

Von unserem Provider haben wir 2 Uplinks, an denen wir an seinem "privaten" BGP teilnehmen müssen. Privat im Sinne von: Dass da keine komplette Internet-Prefix-Liste drüber geht. Wir bekommen nur eine Default-Route und wir announcen unseren eigenen Prefix (unseren Netzbereich).

Auf der LAN-Seite haben wir bereits unsere Router-Infrastruktur, die OSPF macht.

"Da zwischen" wollen wir jetzt Active/Passive zwei OpnSense-Boxen (mit StateSync) hängen, sind uns aber noch nicht ganz schlüssig, welches die beste Variante fürs FailOver Richtung LAN ist. CARP-Failover ist natürlich schön einfach und sollte definitiv funktionieren. Direkt mit OpnSense am OSPF teilzunehmen klingt für unser Szenario aber auch sympatisch. Das dürfte dann ja vermutlich schneller mit dem FailOver-Prozess sein als CARP-Failover (OSPF braucht ja kein MAC re-learning beim "Umschalten" der VIP, wenn ich das richtig verstehe). Nur findet man dafür recht wenig Infos bzw. Erfahrungsberichte.

Deswegen wollte ich noch mal nachfragen, was das Forum so denkt :-) Hat evtl. jemand OSPF zwecks Failover am OpnSense im Betrieb und kann berichten?
Danke!
August 03, 2023, 08:26:40 PM #4
Ich habs 2 mal bei Kunden implementiert, war reines Consulting, hab nichts mehr von denen gehört, also gehe ich davon aus dass es klappt.

Ad hat das Feature damals für ne Bank implementiert, da gab's sicher auch ne Abnahme ;)
August 03, 2023, 08:26:50 PM #5
Wenn direkt an den OPNsense keine Clients hängen, sondern nur weitere Router, halte ich OSPF für sinnvoller. CARP ist wie schon geschrieben für Clients mit einem einzigen statischen Default-Gateway.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions