HA Update erst auf Backup-FW dann auf Master-FW möglich?

[tbarth]

Hi,
ich möchte gerne ein Update von opnsense im HA Cluster in meiner virtuellen Umgebung durchspielen. Dazu habe ich folgende Anweisung vorliegen:

1. Aktualisieren Sie die Backup-Firewall (Firewall 2) und warten Sie, bis diese wieder online ist.
2. Wählen auf der primären Firewall unter Firewall ‣ Virtual IPs ‣ Status den Punkt Enter Persistent CARP Maintenance Mode.
3. Sobald Firewall 2 zum MASTER wurde, überprüfen Sie ob alle Dienste wie DHCP, VPN, NAT nach dem Update weiterhin korrekt funktionieren. Für den unwahrscheinlichen Fall, dass das Firewall-Update zu Problemen bei bestimmten Diensten führte, können Sie wieder auf die ursprüngliche Firewall schalten bevor Sie dort das Update eingespielt haben.
4. Wenn alle Dienste wie gewünscht nach dem Update funktionieren, aktualisieren Sie Firewall 1 und wählen Sie danach Leave Persistent CARP Maintenance Mode.

Das Problem ist aber nun, dass meine Backup-Firewall überhaupt keine Verbindung zum Internet hat, wenn sie sich im Backup-Status befindet! Erst, wenn sie Master geworden ist, bekomme ich darüber ne Verbindung zum Netz. Punkt 1 kann ich so gar nicht durchführen.

Ist es normal, dass die Backup-FW im Backup-Status keine Verbindung zum Netz hat? Wenn ja, wie ist eine Aktualisierung ohne Ausfall möglich? 

Bei mir ist zum Testen Windows der Host, dann Virtualbox mit einer VM für FW1, einer VM2 für FW2 und einer VM für Linux, die über die FWs verbunden ist.

[atom]

Die Vorgehensweise verwende ich auch - nur mit dem Unterschied das meine Backup-Firewall ins Internet kommt.

[Domi741]

Das Thema gab es schon mal.
Liegt am NAT.
https://forum.opnsense.org/index.php?topic=22140.0
Da wirst du sicher fündig

[tbarth]

Das scheint jetzt zu funktionieren. Ich habe den anderen Thread überflogen und daraufhin für jede FW eine erreichbare WAN IP angegeben und bei NAT Outbound als NAT Address "WAN address" statt "VIP WAN" ausgewählt. Ich wollte halt mit WAN IPs nicht "verschwenderisch" sein (eingetragen war 172.18.0.101 und 172.18.0.102). Bei Produktivsystem habe ich tatsächlich auch nur eine externe IP zur Verfügung, aber bald nach einem Umzug wären ausreichend vorhanden, so dass ich das dann auch entsprechend ändern könnte.

[Patrick M. Hausen]

Du brauchst in einen HA Setup immer 3 Adressen für den Cluster in jedem Netz. Hat nichts mit Verschwendung zu tun.

[JeGr]

> und bei NAT Outbound als NAT Address "WAN address" statt "VIP WAN" ausgewählt.

Nein, bei NAT Outbound wird NUR bei localhost nach extern die WAN address genutzt, für die internen Netze nach außen MUSS "VIP WAN" genutzt werden, ansonsten gibt es kein fehlerloses Failover. Wenn die VIP nicht genutzt wird, kann es kein sauberes Umschalten geben, da die States dann auf einer IP hängen, die die 2. Firewall NICHT bedienen kann, damit reißen alle Verbindungen ab. Die beiden Firewalls selbst müssen aber ihren eigenen Kram nach draußen sauber NATten können, daher muss localhost -> extern über WAN Address (was ja standard im Auto Modus ist) und NUR der Traffic von dem/den (V)LAN Interface(s) nach extern über die VIP Adresse gehen. Wenn unklar, einfach nochmal in die CARP/HA Doku dazu reinsehen, ansonsten baut man sich den Bug-by-design ein und fragt sich hinterher warum beim Schwenk der Firewalls ständig die Verbindungen abreißen und alles abgeschnitten wird

Cheers