Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
HA - Erreichbarkeit der Backup-Firewall per OpenVPN
« previous
next »
Print
Pages: [
1
]
Author
Topic: HA - Erreichbarkeit der Backup-Firewall per OpenVPN (Read 1248 times)
mscd
Newbie
Posts: 39
Karma: 0
HA - Erreichbarkeit der Backup-Firewall per OpenVPN
«
on:
June 30, 2021, 07:15:57 pm »
Hallo zusammen,
ich setze derzeit ein Testsetup mit zwei OPNsense-Appliances (Master/Backup-HA) auf, was soweit ganz gut klappt. Bei der Inbetriebnahme von OpenVPN bin ich nun auf das Problem gestoßen, dass ich per externer VPN-Verbindung (VPN-Netz 10.200.2.0/24) zwar die Master-Firewall (im Netz 10.12.0.0/24) erreiche, aber nicht die Backup-Firewall (auch im Netz 10.12.0.0/24).
Grund hierfür wird wohl meiner Einschätzung nach die Tatsache sein, dass die Backup-Firewall nicht "weiß" wo es die Anfragen der VPN-Clients (aus 10.200.2.0/24) zurücksenden soll, so dass dort dann einfach das Standardgateway (des WAN-Interface) genommen wird, was natürlich nicht klappen kann.
Kann mir hier jemand einen Tipp geben, wie man in einem HA-Setup eine "saubere Erreichbarkeit" von Master- und Backup-Appliance per VPN konfigurieren kann.
Schöne Grüße und besten Dank,
mscd
«
Last Edit: June 30, 2021, 08:26:36 pm by mscd
»
Logged
CoolTux
Full Member
Posts: 138
Karma: 4
Re: HA - Erreichbarkeit der Backup-Firewall per OpenVPN
«
Reply #1 on:
July 01, 2021, 05:13:56 am »
Das Thema gab es hier so vor einem Jahr mal. Am besten die Suche probieren.
Ich glaube mich erinnern zu können das dies mit statischen Routen gelöst wurde. Bin mir aber unsicher.
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: HA - Erreichbarkeit der Backup-Firewall per OpenVPN
«
Reply #2 on:
July 01, 2021, 04:11:38 pm »
> dass ich per externer VPN-Verbindung (VPN-Netz 10.200.2.0/24) zwar die Master-Firewall (im Netz 10.12.0.0/24) erreiche, aber nicht die Backup-Firewall (auch im Netz 10.12.0.0/24).
Du meinst Roadwarrior Einwahl? Auf der primären FW? Und dann kommst du an die Secondary nicht ran?
Das ist ein recht einfacher Kniff: Erstelle eine Outbound NAT Regel auf das Interface, das du versuchst von der 2. Firewall zu erreichen (ihre LAN oder MGMT Adresse - kenne dein Setup nicht). Also bspw. du willst per VPN auf beide FWs per LAN IP zugreifen:
* NAT Outbound Regel
* Interface LAN
* Source: das OpenVPN Einwahl Netz
* Ziel-IP: die IP der 2. Firewall im LAN
* NAT Adresse: meine Interface Adresse
Damit wird dann beim Zugriff auf die 2. FW via LAN IP der Zugriff geNATtet und kommt "anscheinend" von der 1. FW, die die 2. problemlos erreichen kann -> und damit klappt dann auch der Rückweg der IP Pakete.
Anders gehts schlecht, da beide Firewalls - klar aus Redundanzgründen - das RoadWarrior VPN Netz aktiv bei sich selbst geroutet kennen und daher die 2. FW die Rückpakete verschluckt, da sie die an ihren eigenen VPN Server weiterreicht und der sie verwirft.
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
mscd
Newbie
Posts: 39
Karma: 0
Re: HA - Erreichbarkeit der Backup-Firewall per OpenVPN
«
Reply #3 on:
July 02, 2021, 11:07:59 pm »
Danke für den Tipp … mit der NAT-Regel läuft es nun wie gewünscht.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
HA - Erreichbarkeit der Backup-Firewall per OpenVPN