HA mit MultiWAN jedoch mit nur einer WAN IP via DHCP

[aeschma]

Hallo,

ich versuche mein HA mit MultiWAN auszubauen ….

Kurz zur aktuellen Situation:
Momentan werden 2 OPNsense‘s im HA Cluster betrieben. An jeder OPNsense hängt ein separater Internetanschluß. (1x schnell und öfter mit Aussetzern und 1x langsam aber dafür stabil) Es wurden bisher für keines der beiden WAN Interfaces Carp IP‘s erstellt. Der ursprüngliche Plan war es eine OPNsense mit Multiwan zu betreiben und im Falle eines Ausfalles einfach manuell umzustecken …. Jedoch funktioniert HA nicht wenn eine OPNsense kein inet hat Nun versuche ich von meinen Providern mehrere IP Adressen zu bekommen um richtiges HA mit MultiWAN zu betreiben. Jedoch habe ich bereits von einem Provider eine definitive Absage erhalten und beim zweiten sieht es diesbezüglich auch nicht so rosig aus….

Hier noch meine möglichen Szenarien:
(1) Mein zweiter Provider gibt mir mehrere WAN IP Adressen und ich kan auf der Master OPNsense MultiWAN fahren und habe auf der Slave nur einfaches WAN.

(2) Ich hänge hinter das Modem des Providers mit nur einer WAN IP einen einfacher Router und beide OPNsenses an das LAN Netz des Routers, die CARP IP entsprechend als Exposed Host. Entsteht hier ein Double NAT Problem? (Für den 2 Anschluss u.U. das gleiche Verfahren ….)

(3) Ich versuche mittels der WAN Carp IP DHCP zum Modem hinzubekommen. Die realen Interfaces bekommen „Piraten“-IP‘s im Netz des Providers, welche im Idealfall nie auffallen, da der kpl Datenverkehr über die CARP IP geht.

(4) Beide OPNsenses mit jeweils einem realen Anschluss betreiben und mich auf dem Master zwischen schnell oder stabil entscheiden …. (so wie aktuell ….)

(5) Die Master OPNsense mit beiden Internet Anschlüssen betreiben und der Slave OPNSense, mittels eines „nur“ auf der Master erstellten Interfaces, Internet zur Verfügung zu stellen. (Fällt die Master aus, hat auch die Slave kein Inet und es müsste ebenfalls manuell umgesteckt werden.) (Auch hier entsteht ein Double NAT)

Habe ich eine Möglichkeit vergessen? Welche Möglichkeit würdet ihr wählen bzw. macht wahrscheinlich am wenigsten Probleme? Gibt es besondere Fallstricke bei den einzelnen Möglichkeiten?

Ich hoffe der Text war nicht allzu verwirrend. Danke im Vorraus für die Hilfe.

[Phoenix0278]

Hallo, bei mir läuft das so: Internet 1 - WAN Switch1 - Opn1 und Opn2, Internet 2 - WAN Switch2 - Opn1 und Opn2. Beide Opnsense haben 2 Wan Eingänge (Multiwan), beide sind über Carp verbunden. Fällt eine aus übernimmt automatisch die ander! Kein Umstecken!

[aeschma]

Hier ein kleines Update:

Mein zweiter Internet Provider stellt mir entsprechende IP Adressen zur Verfügung. Ich habe jeder OPNsense eine entsprechende Public IP zugewiesen und eine Public IP für ein WAN CARP verwendet. Zusätzlich habe ich noch eine NAT Regel gesetzt und bei den Firewall Rules auf dem entsprechenden WAN Carp Pakete freigegeben.

Kurzfristig funktioniert alles wie gewünscht und erwartet .... Jedoch friert die OPNsense nach einer gewissen Zeit ein (unregelmäßig) und es geht gar nichts mehr; weder internes Routing noch Routing ins WAN. Zu Testzwecken habe ich nun die NAT Regel deaktiviert und will beobachten ob die OPNsense weiterhin abstürzt ....

@Phoenix0278 So wollte ich es jetzt auch mit dem Internetprovider lösen welcher nicht mehrere Public IP's zur Verfügung stellen kann. Mein Plan würde folglich so aussehen: Internet1 -- Einfacher Router ----- Opn1 + Opn2 mit privaten IP Adressen und mit Exposed Host auf eine VIP Carp Adresse (Double NAT ?!); Internet2 ---- OPN1 + OPN2 mit gemeinsamer Public VIP CARP Adresse

[aeschma]

EDIT:

BTW mein Verdacht: Ich Beobachte das beim 2ten Internetprovider (Vodafone Kabel) regelmäßig ein Paket loss auftritt und das GW regelmäßig down ist. Ich vermute dies triggert Carp Events welche das System überlasten .... (ist aber nur ein Bauchgefühl .....)

[micneu]

Auf was für einer Hardware laufen die Sense, das habe ich nicht in deinem text gefunden?


Gesendet von iPhone mit Tapatalk Pro

[aeschma]

Sorry für die späte Antwort. Ich hatte zwischenzeitlich einen Netzwerkausfall und entsprechend Streß .....

Die Sense's laufen jeweils auf einem Supermicro X10SDV-TP8F