HA - Erreichbarkeit der Backup-Firewall per OpenVPN

Started by mscd, June 30, 2021, 07:15:57 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 30, 2021, 07:15:57 PM Last Edit: June 30, 2021, 08:26:36 PM by mscd
Hallo zusammen,

ich setze derzeit ein Testsetup mit zwei OPNsense-Appliances (Master/Backup-HA) auf, was soweit ganz gut klappt. Bei der Inbetriebnahme von OpenVPN bin ich nun auf das Problem gestoßen, dass ich per externer VPN-Verbindung (VPN-Netz 10.200.2.0/24) zwar die Master-Firewall (im Netz 10.12.0.0/24) erreiche, aber nicht die Backup-Firewall (auch im Netz 10.12.0.0/24).
Grund hierfür wird wohl meiner Einschätzung nach die Tatsache sein, dass die Backup-Firewall nicht "weiß" wo es die Anfragen der VPN-Clients (aus 10.200.2.0/24) zurücksenden soll, so dass dort dann einfach das Standardgateway (des WAN-Interface) genommen wird, was natürlich nicht klappen kann.

Kann mir hier jemand einen Tipp geben, wie man in einem HA-Setup eine "saubere Erreichbarkeit" von Master- und Backup-Appliance per VPN konfigurieren kann.

Schöne Grüße und besten Dank,
mscd
July 01, 2021, 05:13:56 AM #1
Das Thema gab es hier so vor einem Jahr mal. Am besten die Suche probieren.
Ich glaube mich erinnern zu können das dies mit statischen Routen gelöst wurde. Bin mir aber unsicher.
July 01, 2021, 04:11:38 PM #2
> dass ich per externer VPN-Verbindung (VPN-Netz 10.200.2.0/24) zwar die Master-Firewall (im Netz 10.12.0.0/24) erreiche, aber nicht die Backup-Firewall (auch im Netz 10.12.0.0/24).

Du meinst Roadwarrior Einwahl? Auf der primären FW? Und dann kommst du an die Secondary nicht ran?

Das ist ein recht einfacher Kniff: Erstelle eine Outbound NAT Regel auf das Interface, das du versuchst von der 2. Firewall zu erreichen (ihre LAN oder MGMT Adresse - kenne dein Setup nicht). Also bspw. du willst per VPN auf beide FWs per LAN IP zugreifen:

* NAT Outbound Regel
* Interface LAN
* Source: das OpenVPN Einwahl Netz
* Ziel-IP: die IP der 2. Firewall im LAN
* NAT Adresse: meine Interface Adresse

Damit wird dann beim Zugriff auf die 2. FW via LAN IP der Zugriff geNATtet und kommt "anscheinend" von der 1. FW, die die 2. problemlos erreichen kann -> und damit klappt dann auch der Rückweg der IP Pakete.
Anders gehts schlecht, da beide Firewalls - klar aus Redundanzgründen - das RoadWarrior VPN Netz aktiv bei sich selbst geroutet kennen und daher die 2. FW die Rückpakete verschluckt, da sie die an ihren eigenen VPN Server weiterreicht und der sie verwirft.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 02, 2021, 11:07:59 PM #3
Danke für den Tipp ... mit der NAT-Regel läuft es nun wie gewünscht.
Print
Go Up Pages1
User actions