System: High Availability: Status - lässt sich nicht aufrufen

[trixter]

Moin liebe Gemeinde,

Betreibe 2 OPNSense als Cluster - läuft auch alles soweit zufriedenstellend - dank freundlicher Hilfe aus dieser Community ;) Danke!

Seit kurzem lässt sich leider auf der Primären Sense die Seite System: High Availability: Status welche zum Synch benötigt wird nicht mehr aufrufen.

Nach einer Weile kommt dann die Antwort : The backup firewall is not accessible or not configured.

Das war bis vor kurzem nicht so - kann mich auch nicht erinnern am eigens dafür eingerichteten Interface etwas verändert zu haben.
Habe da das letzte Update in Verdacht:

Versions
OPNsense 24.7.12-amd64
FreeBSD 14.1-RELEASE-p6
OpenSSL 3.0.15

Hat jemand ähnliche Erfahrungen gemacht?

[Patrick M. Hausen]

Ist die konfigurierte IP-Adresse der Backup-Firewall per ping zu erreichen? Ist auf diesem Interface auf beiden Nodes eine "allow any any" Regel? Ist das Web UI auf "All (recommended)" konfiguriert?

[Monviech (Cedrik)]

Es muss eigendlich nur der WebGUI Port erreichbar sein zwischen den beiden Firewalls, da das über die REST API passiert.

[Patrick M. Hausen]

pfsync macht man ja normalerweise über dasselbe dedizierte Interface.

[Monviech (Cedrik)]

Kommt drauf an wie es konfiguriert ist, aber ja pfsync hab ich hier nicht berücksichtigt. Danke.

[trixter]

Moin,

danke für die Tips,

Ich habe extra ein eigenes VLan (722) für den Sync verwendet mit dedizierten Adressen 10.100.22.5 bzw 6

Ping funktioniert.

Webzugriff mit dem extra dafür angelegten User ebenfalls.

Habe auch Regeln geschrieben, die den Traffic eigentlich erlauben sollten - siehe Anhang
Als Fallback, für den Fall dass ich irgendwas vergessen habe, gibt es am Ende eine Bypass-Regel.
Dennoch wird offensichtlich Traffic geblockt - ist wohl das Wald-Baum-Problem ?

Das merkwürdige dabei - es hat ja funktioniert ...

[trixter]

Habe gerade etwas merkwürdiges festgestellt:

Obwohl ich extra dieses Interface gebaut habe,läuft der pfsync offensichtlich über das WAN.

Bin etwas irritiert deswegen.

[trixter]

Um irgendwelchen Mist wie Routing & NAT ausschließen zu können, habe ich den Sync auf ein anderes Interface verlegt

XOver 172.17.20.221 bzw .222

Habe JEDEM Interface eine Regel hinzugefügt pfsync zu erlauben und ins Log zu schreiben, doch von der 224.0.0.240 ist nichts zu sehen - obwohl ich über alle Interfaces suche.

Traffic im Subnetz 172.17.20.x/24 ist frei, Broadcasts ebenfalls erlaubt.

[trixter]

Nach etwas ausgedehnterer Suche - jetzt weiß ich wonach ich suchen muss - ergaben sich neue Erkenntnisse:

- Früher musste man root für PFSync verwenden, weil man die entsprechenden Rechte braucht
  Das muss man heute nicht mehr, der Sync-User muss aber Admin-Rechte haben - welche es braucht, ist aber nicht genauer angegeben.
  !! In 25.1 gibt es Priviliges - habe diese erst mal auf "alle" gesetzt, damit der Sync-User auch alles ändern darf !!

- das Passwort darf keine Sonderzeichen enthalten - was sonst für Passwörter empfohlen wird, ist hier hinderlich (bin ich natürlich voll reingelaufen).
  User und Passwort sollten ebenfalls auf beiden Peers gleich sein !!PFSync sorgt dafür, dass diese dann vom Master überschrieben werden !!

- Standardmäßig verwendet PFSync Broadcast-Adressen, die per Routing/Nat natürlich auf dem WAN-Interface auftauchen.
  Wenn man diese gegen die direkte Peer IP tauscht, bleibt der Traffic im dafür vorgesehenen Subnetz.

- Das Interface, auf dem Ihr Sync nutzt, sollte zu denen gehören auf denen auch die Web-Gui aufrufbar ist :
  System: Settings: Administration -> Listen Interfaces

- die OPNSense baut für alles mögliche automatische Regeln - nicht jedoch für PFSync.
  Daher ist es Sinnvoll händisch auf BEIDEN Peers entsprechende Regeln zu setzen !!PFSync sorgt dafür, dass diese dann vom Master überschrieben werden !!