OPNsense HA Cluster Wireguard

[maxidalli]

Hallo zusammen,

ich habe mal eine Frage zum Thema Wireguard auf OPNsense in Verbindung mit einem HA Cluster.
Mit wireguard-go ist es ja leider nicht möglich, Wireguard ausfallsicher im HA Cluster zu betreiben.
Eine Möglichkeit die funktioniert ist wireguard-kmod zu nutzen. Diese kann dann im HA Betrieb mit Virtual IP umgehen. Nun ist es natürlich leider so das der wireguard-go Service gestoppt ist da wireguard-kmod läuft, wodurch auch der Sync der Wireguard Endpoints zwischen fw01 und fw02 nicht mehr läuft.

Hat hierfür jemand eine Lösung? Oder ist der einzige Weg aktuell die Endpoints auf beiden dann einzutragen?

[mimugmail]

Sicher das der Sync dann nicht geht? Es wird ja nur kein Prozess gefunden  aber enabled bleibt

[Patrick M. Hausen]

Auf die 23.1 warten? wireguard-kmod serienmäßig ist eines der Haupt-Features.

[franco]

23.1 ändert nichts ausser dass kmod statt go im Standard verwendet wird und beides in der GUI als Plugin auftaucht. Der Rest bleibt so wie es ist... :)


Grüsse
Franco

[mimugmail]

Kmod löst auch nicht das Problem dass die Backup Kiste Pakete schickt und dann den Tunnel durcheinander bringt

[Patrick M. Hausen]

Funktioniert es denn nicht, ein eingehendes Port-Forwarding von der CARP-Adresse nach 127.0.0.1 zu legen? Die Antwort-Pakete müssten dann vollautomatisch auf die CARP-Adresse geNATet werden.

Und dann je nach Gegenseite:

- ist die Gegenseite ein "road warrior", dann hat man auf dem HA-Cluster sowieso keine IP-Adresse für den Peer und wartet auf eigehende Verbindungen.

- ist die Gegenseite eine OPNsense oder wieder ein HA-Cluster, erlaubt man überall die eingehenden Pakete per Firewall-Regel nur von den richtigen Gegenstellen, also den CARP-Adressen.

Drops gelutscht oder was übersehe ich?

Site-2-Site VPNs mit dynamischen IP-Adressen mache ich grundsätzlich nicht. Alles Business-Leitungen hier.

[mimugmail]

Ich kenns bisher nur vom lesen, bzw negativen Kommentaren. Was ist denn wenn ein Paket von der FW lokal erzeugt wird, z.B. DNS, dann will ja auch FW2 das in einen Tunnel packen. Und wenn es CARP source sein soll brauchst du ein outbound nat oder nicht?

[Patrick M. Hausen]

Wenn ein DNS-Request durch den Tunnel soll, setzt man query-source-address oder transfer-source-address auf die innere Tunnel-Adresse ;)

[mimugmail]

Ist mir immer noch zu hacky :)

[Patrick M. Hausen]

Nö, genau so geht das :)

[maxidalli]

Hallo zusammen,

entschuldigt bitte meine späte Antwort, ich war der Meinung, ich werde eine Mail Benachrichtigung bekommen, wenn jemand antwortet.

Vielen Dank erstmal für die vielen Antworten und die rege Diskussion finde ich klasse!

Nun habe ich wireguard-kmod auf beiden OPNsense's laufen und auch der Sync funktioniert, sobald ich einen Endpoint auf der fw01 einrichte.

Wenn man nun aber einen Ausfalltest macht und von extern via Wireguard verbunden ist, bekommt man ca. 3–4 Zeitüberschreitungen während einem Ping auf die CARP LAN IP. Ich weiß, dass dort natürlich die Verbindung von fw01 auf fw02 umspringt, kann man diese aber eventuell optimieren?

Ebenso wenn die fw01 wieder online ist, wechselt OPNsense wieder auf die fw01 wodurch man wieder die 3–4 Zeitüberschreitungen hat. Gibt es eine Möglichkeit, einzustellen, dass die fw02 nach einem Ausfall weiterhin als Master läuft, ohne dass eben dieser Wechsel auf fw01 passiert? Den Wechsel das fw01 wieder Master wird, würde ich dann einfach Abends oder Nachts durchführen.


Danke und Gruß
Max

[mimugmail]

4 Pings ist doch super, OpenVPN kann bis zu 120 Sekunden dauern (wenn nicht optimiert)

[maxidalli]

Joa besser als openvpn sicherlich. Aber vielleicht kennt ja jemand noch einen Trick, um es noch mehr runter zu treiben.  ;)