Sync von Aliassen auf mehreren OPNsense

Started by superwinni2, October 21, 2024, 02:01:25 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 21, 2024, 02:01:25 PM
Hallo zusammen


ich habe hier insgesamt 4 OPNsense am laufen.
- FW Extern Master
- FW Extern Slave
- FW Intern Master
- FW Intern Slave


Ein Master bildet mit einem Slave ein "Cluster".


Nun möchte ich gerne bei beiden Mastern die Aliase vereinigen.


Meine einzige Idee bisher ist dies über ein externes Script und über die API abzubilden.

Hat jemand noch eine andere Idee?
Oder stand evtl. jemand bereits vor dem gleichen Problem und hat schon eine Lösung?


Alles zusammen zu einem Cluster zu legen ist leider keine Option.


Danke und Gruß
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
October 21, 2024, 06:17:13 PM #1
Für Synchronisation gibt es in der Business Edition OPNcentral:

https://docs.opnsense.org/vendor/deciso/opncentral.html
Hardware:
DEC740
October 21, 2024, 08:40:41 PM #2
Du kannst doch ohne einen vollständigen HA-Cluster zu haben - auch quer über Standorte hinweg o.ä. - einer Firewall den XLMRPC-Sync auf eine andere einrichten und dann nur Aliase synchronisieren.

Guck dir mal System > High Availability > Settings auf deinem existierenden Cluster an. "Aliases" ist ein separater Bereich. Du lässt das ganze CARP und pfsync-Geraffel weg, richtest einen Config-Sync ein, und hakst als einziges "Aliases" an.

EDIT: ich hab nicht weit genug gedacht - die Sense erlaubt nur genau einen Peer, nicht mehrere  :(
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 21, 2024, 10:11:08 PM #3
Es gab hierzu aber die Idee, eine Sync-Kette aufzubauen.

Also um die Boxen A, B, C, D zu synchronisieren:
A > B, B > C, C > D, ...

Keine Ahnung, wie gut das klappt. Habe das aber noch nicht selbst gemacht.
October 22, 2024, 08:49:59 AM #4
Danke erstmal für alle Antworten und Vorschläge.

OPNsense Business Edition:
Ja wäre für einen (Arbeits-)Standort die Möglichkeit. Da wäre auch das Thema Geld (600€) nicht das große Problem.
Jedoch habe ich die gleiche Konstellation auch bei 2 weiteren Standorten welche kein Geld machen (Non-Profit) oder haben (ich zuhause  ::) [size=78%]).[/size]
Daher fliegt das leider raus.


XLMRPC Sync über mehrere Maschinen:
Wie bereits festgestellt, geht dies leider nur mit einem Peer. Nicht mehreren.
Zudem wird auch nur nach unten synchronisiert.


Sync Kette aufbauen:
Theoretisch technisch möglich, jedoch habe ich hier 2 Gedenkpunkte:
Es wird nur "nach unten" synchronisiert. Wenn sich auf Knoten C etwas ändert ist dies nicht mit A synchron.
Aus Sicherheitsgründen möchte ich zudem nicht, dass die eine Master OPNsense direkt auf die andere Master OPNsense zugreift mit Benutzerdaten etc.




Somit werde ich mich wohl in einer freien Minute irgend ein Skript basteln welches dafür sorgt das dies so passiert wie ich möchte.
Immerhin kann man keine Aliase mehr löschen welche in Verwendung sind. Das war ganz früher mal anders  :)
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
Print
Go Up Pages1
User actions