HTTP / HTTPS Frontend mit CARP IP und wireguard IPs der beiden FW im Cluster Mod

[solick]

Hallo zusammen,

ich habe ein Proxmox Cluster wo ich zwei OPNsense FW als HA Cluster mit HA Proxy konfiguriert habe. CARP IP eingerichtet und HTTP / HTTPS frontends mit acme challenge und redirect to HTTPS rule. Das klappt alles wunderbar.

Jetzt möchte ich die Dienste hinter HA Proxy auch via Wireguard verfügbar machen. Ich habe ein spezielles Setup, mein FW sind nicht Wireguard Router sondern nur clients in einem netzwerk.

Wenn ich jetzt die beiden Frontends auf die Wireguard IPS der beiden FW lauschen lasse funktioniert nichts mehr, vermutlich weil die IP der jeweils anderen FW ja nicht existiert lokal.

Wie sollte ich das realsisieren? Eine WG CARP IP geht ja vermutlich nicht weil ich sonst dieselbe wg config auf beidne FW laufen haben müsste.

[viragomann]

Hallo,

mir ist die Funktion der Wireguard VPN nicht klar. Ist das eine Site-to-Site und soll der Zugriff auch von der Remotesite möglich sein oder gar ein weitergeleiteter Traffic aus dem Internet? Oder ist es eine Road warrior VPN?

Wie auch immer, es sollte realisierbar sein, wenn du die Frontends auch auf der LAN IP (od. einer anderen internen) lauschen lässt und diese über die VPN routest.
So etwas hatte ich jedenfalls schon mit OpenVPN umgesetzt.