Denkansatz - Wireguard als Responder im HA mit CARP

[Monviech (Cedrik)]

Ich würde gerne wissen ob es Sinn ergibt das Wireguard HA Problem durch folgenden Denkansatz zu umgehen:

1. Konfiguration:
- Wireguard ist in der Opnsense nur als Responder eingestellt, in den Wireguard Peers sind keine Ziele eingetragen. Externe Wireguard Clients sind der Initiator, und senden an die CARP VIP der Opnsense den Handshake.

2. Problem
- Wenn Wireguard im HA betrieben wird, und sich die CARP VIP von MASTER zu BACKUP ändert, kann es passieren, dass der neue BACKUP, wenn er noch auf Layer 3 erreichbar ist, weiter die Wireguard Handshakes von der Source IP des WAN Interfaces sendet. CARP VIP wird von Wireguard aufgrund der Funktionsweise in FreeBSD (Gebunden an alle Interfaces) nicht als Source verwendet.

3. Lösungsansatz:
- Ich würde gerne wissen, ob man dieses Problem umgehen kann, wenn in Firewall - Rules - Floating eine Regel für Direction out von Interface Wireguard Group anlegt, die UDP Any von This Firewall verbietet.
- Dadurch würden mit der Regel alle Wireguard Sessions, welche die Opnsense zu initiieren versucht, geblockt werden. Da die Firewall im Stateful Modus läuft, könnte aber der externe Wireguard Client einen Handshake schicken, und würde dann, weil eine Session initiiert wird, immer vom aktuellen CARP VIP Master eine Antwort erhalten.