Sync von Aliassen auf mehreren OPNsense

[superwinni2]

Hallo zusammen


ich habe hier insgesamt 4 OPNsense am laufen.
 - FW Extern Master
 - FW Extern Slave
 - FW Intern Master
 - FW Intern Slave


Ein Master bildet mit einem Slave ein "Cluster".


Nun möchte ich gerne bei beiden Mastern die Aliase vereinigen.


Meine einzige Idee bisher ist dies über ein externes Script und über die API abzubilden.

Hat jemand noch eine andere Idee?
Oder stand evtl. jemand bereits vor dem gleichen Problem und hat schon eine Lösung?


Alles zusammen zu einem Cluster zu legen ist leider keine Option.


Danke und Gruß

[Monviech (Cedrik)]

Für Synchronisation gibt es in der Business Edition OPNcentral:

https://docs.opnsense.org/vendor/deciso/opncentral.html

[Patrick M. Hausen]

Du kannst doch ohne einen vollständigen HA-Cluster zu haben - auch quer über Standorte hinweg o.ä. - einer Firewall den XLMRPC-Sync auf eine andere einrichten und dann nur Aliase synchronisieren.

Guck dir mal System > High Availability > Settings auf deinem existierenden Cluster an. "Aliases" ist ein separater Bereich. Du lässt das ganze CARP und pfsync-Geraffel weg, richtest einen Config-Sync ein, und hakst als einziges "Aliases" an.

EDIT: ich hab nicht weit genug gedacht - die Sense erlaubt nur genau einen Peer, nicht mehrere 

[viragomann]

Es gab hierzu aber die Idee, eine Sync-Kette aufzubauen.

Also um die Boxen A, B, C, D zu synchronisieren:
A > B, B > C, C > D, ...

Keine Ahnung, wie gut das klappt. Habe das aber noch nicht selbst gemacht.

[superwinni2]

Danke erstmal für alle Antworten und Vorschläge.

OPNsense Business Edition:
Ja wäre für einen (Arbeits-)Standort die Möglichkeit. Da wäre auch das Thema Geld (600€) nicht das große Problem.
Jedoch habe ich die gleiche Konstellation auch bei 2 weiteren Standorten welche kein Geld machen (Non-Profit) oder haben (ich zuhause  [size=78%]).[/size]
Daher fliegt das leider raus.


XLMRPC Sync über mehrere Maschinen:
Wie bereits festgestellt, geht dies leider nur mit einem Peer. Nicht mehreren.
Zudem wird auch nur nach unten synchronisiert.


Sync Kette aufbauen:
Theoretisch technisch möglich, jedoch habe ich hier 2 Gedenkpunkte:
Es wird nur "nach unten" synchronisiert. Wenn sich auf Knoten C etwas ändert ist dies nicht mit A synchron.
Aus Sicherheitsgründen möchte ich zudem nicht, dass die eine Master OPNsense direkt auf die andere Master OPNsense zugreift mit Benutzerdaten etc.




Somit werde ich mich wohl in einer freien Minute irgend ein Skript basteln welches dafür sorgt das dies so passiert wie ich möchte.
Immerhin kann man keine Aliase mehr löschen welche in Verwendung sind. Das war ganz früher mal anders