Suche Anleitung für passtrougth und carp bei wan

florit · December 01, 2024, 08:44:04 PM

QuoteWAN0 WAN1
: :
: redundant WAN connect :
: :
.---+---. VRRP .---+---.
WAN0 | Mkrtk +----------------+ Mkrtk | WAN1
'---+---' 1.2.3.4/29 '---+---'
1.2.3.5/29 | | 1.2.3.6/29
| |
1.2.3.2/29 | VIP: 1.2.3.1/29 | 1.2.3.3/29
.----+-----. .----+-----.
| OPNsense +-------------+ OPNsense |
'----+-----' CARP '----+-----'
| |
10.0.0.251/24 | 10.0.0.1/24 | 10.0.0.252/24
| .---------. |
+------| Switch |--——---+
'---------'
|
...-----+-----...
(Clients/Servers)

Liebe Leute ... ich habe heute ein Update auf einem tp-link Router bekommen
Was mich außer Stande setzt das Ding noch weiter zu betreiben ... kurzum ich kann
Weder den agb noch der privacy Erklärung zustimmen und deswegen muss das Ding einfach weg

Ersetzen möchte ich es mit einem MikroTik Router wie in der Zeichnung als ,,Mkrtk"
Beschrieben ist. Zwei opnsense hätte ich auch schon.
Aber wie bekomme ich das gedeichselt das die wan ip nur eine ist wie beim carp Aufbau
Das mit der durchleitung vom wan0 und wan1 lässt sich recht leicht anstellen bei den Routern
Opns0 und Opns1 eben direkt auf wan0 und wan1 lauschen ... pass trougth ist hier das Stichwort
VRRP kann ich erstmal vergessen und VIP sollte eigentlich die externe ip sein wo ich bei der Aufgabe
Den Denkfehler bekomme ... weil muss die dann nicht der Provider vergeben?!? Oder bekomme ich das mit carp
Gebacken?!? Weil beim pass trougth fällt das Netzwerk 1.2.3.0/29 weg.

Und wie lege ich eine sogenannte broadcast bonding configuration am wanx an also wan0 und wan1 gleichzeitig kommunizieren?

Ich bin für jeden Tipp dankbar

florit · December 01, 2024, 10:00:11 PM

Quote12.11.13.234/24. 12.11.13.224/24
WAN0 WAN1
: VIP :
: WAN :
: 12.11.13.238/24 :
.---+---. .---+---.
WAN| Mkrtk | |Mkrtk | WAN
'---+---' '---+---'
| |
| |
| |
.----+-----. pfsync .----+-----.
| OPNsense +-------------+ OPNsense |
'----+-----' 1.2.3.0/24 '----+-----'
| CARP |
10.0.0.251/24 | 10.0.0.1/24 | 10.0.0.252/24
| .---------. |
+--———--| Switch |—————---+
'---------'
|
...-----+-----...
(Clients/Servers)

Sollte so aussehen wenn es fertig ist

Leider hat der provider zu 95% dynamische IP's
Dh wenn ich fixe beantrage ist das zwar aufwand aber der papierkram ist es mir wert
Das ich CARP verwenden kann

viragomann · December 01, 2024, 10:38:19 PM

Hallo,

ja, CARP braucht normalerweise statische IPs. Und das sollten gleich 3 je Subnetz sein, also auch am WAN.
Mit etwas mehr Aufwand lässt sich das aber auch mit einem privaten Subnetz am WAN lösen.

Voraussetzung ist auch, dass die Interfaces der beiden OPNsense, die sich eine CARP VIP teilen, auf Layer 2 miteinander kommunizieren können. Das scheint über die Mikrotiks nicht gegeben zu sein.
Welche Funktion haben die eigentlich?

Die Erfordernis von 3 IPs je Subnetz nehmen die dir auch nicht ab. VRRP hat dieselben Voraussetzungen, funktioniert auch ganz ähnlich.

florit · December 01, 2024, 11:26:44 PM

Produkt https://mikrotik.com/product/chateau_5g_ax
Das mit Layer2 kann ich nicht genau sagen ... hängt das vielleicht mit dem provider zusammen?
Oder wo mir Layer2 bzw Layer3 untergekommen ist das sind switches
Die LAN seite hat Layer2 Managed switches

Wie es beim Mobilfunk Anbieter aussieht ... keine Ahnung hab noch nicht spioniert
Aber das kann man mit einer einfachen email anfrage auch lösen

viragomann · December 01, 2024, 11:36:35 PM

Ja, Switche stellen Layer 2 Verbindungen her, auch dumme, und auch Bridges.
Aber wohl nicht die Mikrotiks. Das sind Router und arbeiten auf Layer 3.

Du könntest die Mikrotiks natürlich irgendwie zusammenschalten und die Interfaces bridgen, um eine L2 Verbindung herzustellen. Der übliche Weg ist aber, einen Switch dazwischen zu schalten. Wenn absolute Redundanz erforderlich, könnten das auch 2 sein.

Dasselbe gilt für die WAN-Seite der Mikrotiks. Wofür die auch immer gebraucht werden.

florit · December 04, 2024, 02:37:16 AM

Wenn ich eine durchreichung bei den mikrotiks mache dh die lte Schnittstelle an die opnSense weiterreiche
Fallen die anderen lan ports aus auch das wlan und nur das lan port mit der lte Schnittstelle die durchgereicht wird ist erreichbar. Dh. Die opnSense hat dann die wan ip und wäre auch erreichbar via VPN.

So wäre das double NAT endlich Geschichte bei mir.

Das problem mit dem zusammen schalten wäre das es wieder ein double NAT ist
Dann würde es mit dem zusammenschalten funktionieren

Habe sogar schon ein passenden Tutorial dafür gefunden via google

Der Router spricht sogar Layer7 zumindest habe ich einen Layer7 filter einstellen können um zb.: telnet oder ssh zu verbieten ... auch anderes wäre möglich mit dem filter
Die firewall vom router ist auch recht komfortabel dh.: ssh bruteforcing kann man automatisch bannen und auch auf andere services erweitern die anti-bruteforce regeln

florit · December 14, 2024, 12:34:11 PM

das double NAT habe ich mal gelassen ... aber mit den zwei Routern und OPNsense's funktioniert das recht gut
CARP macht auf den Routern kein problem ...

Cluster steht und Arbeitet

Suche Anleitung für passtrougth und carp bei wan

florit

December 01, 2024, 08:44:04 PM

florit

December 01, 2024, 10:00:11 PM #1 Last Edit: December 01, 2024, 10:10:30 PM by florit

viragomann

December 01, 2024, 10:38:19 PM #2

florit

December 01, 2024, 11:26:44 PM #3

viragomann

December 01, 2024, 11:36:35 PM #4

florit

December 04, 2024, 02:37:16 AM #5

florit

December 14, 2024, 12:34:11 PM #6