Routing Probleme nach Hardwarewechsel

Started by nwecker, Today at 02:07:23 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 02:07:23 PM
Hallo zusammen:
wir haben aktuell ein Problem mit zwei neuen, bei Deciso gekauften, OPNsense-Firewalls bei einem unserer Kunden.

Der Kunde betreibt zwei Standorte und hatte bisher jeweils eine OPNsense-Firewall auf einer kleinerer Hardware im Einsatz. Da diese Hardware inzwischen zu klein geworden ist, haben wir beide Systeme durch zwei DEC3852 ersetzt. Die Konfiguration wurde über die Export-Funktion von den alten Firewalls auf die neuen Geräte übertragen.

Seit dem Umzug und der Umstellung auf die DEC3852 treten gravierende Routingprobleme auf. Routen über die OPNsense funktionieren teilweise gar nicht oder führen zu Miss-Routing. Aktuell haben wir die Routen direkt auf den Endgeräten eingetragen – das funktioniert, ist aber keine dauerhafte Lösung.
An beiden Standorten gibt es zusätzlich ein Gateway, das eine IPsec-Verbindung ins Rechenzentrum herstellt. Diese Verbindung fällt immer wieder aus und lässt sich nur durch das Löschen der States auf der OPNsense wiederherstellen.
Neben dem Gateway ins RZ existiert auch ein Gateway ins Internet.
Bei den rund 30 OPNsense-Firewalls anderer Kunden ist ein solches Verhalten bisher nie aufgetreten. Wir sind daher mittlerweile ratlos. Das Routingproblem tritt zwischen den beiden Standorten auf, die über eine 60-GHz-Brücke verbunden sind. Dasselbe Verhalten zeigt sich auch bei einer Site-to-Site-VPN-Verbindung. Es betrifft also ausschließlich die Kommunikation zwischen den beiden Standorten.

Habt ihr vielleicht noch eine Idee was mir machen können? Wir vermuten inzwischen, dass es sich um einen Hardwarefehler handeln könnte, da die Probleme erst nach dem Austausch auf die DEC3852 aufgetreten sind.
Vielen Dank im Voraus für eure Hilfe.
Today at 08:33:12 PM #1 Last Edit: Today at 08:35:48 PM by drosophila
Fällt die Verbindung zum RZ auf beiden Standorten aus? In dem Fall wäre es ja dasselbe Verhalten bei zwei Geräten, was eigentlich nicht auf Hardwarefehler hindeuten würde. (Ich gehe mal davon aus, dass vor dem Konfigurationsexport die Softwareversionen identisch mit den Zielboxen waren.)
Vorstellen könnte ich mir, dass die originalen Konfigurationen, die ja sicherlich mehrere Releases und damit ggfs. Formatänderungen hinter sich haben, beim Export nicht vollständig ausgegeben werden. Das könnte man testen, indem man die exportierte Konfiguration auf der alten HW zurückspielt, dann sollten zumindest nach einem vorherigen Reset auch dort dieselben Probleme auftreten. In dem Fall müßte man dann wohl die Konfiguration identisch neu erstellen. Sowas sollte natürlich nicht vorkommen, aber...
Obwohl unwahrscheinlich: die neue HW hat ja auch neue MAC-Adressen. Wenn da irgendwo alte Filter, feste Routingregeln oder IP-Adressvergaben drauf basieren (DHCP), gäbe das sicher Probleme.
Fehlt evtl. ein Plugin für irgendwas? Bei einem Konfigurationsimport werden die ja nicht automatisch installiert, sondern in der Liste als "fehlt" oder so angezeigt, was nicht direkt auffallen muss.
Today at 09:03:47 PM #2
Bei MAC-Adressen können auch dynamische IPv6 Aliase anders lauten.

Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Print
Go Up Pages1
User actions