Probleme mit CARP Interface an FRITZ!Box

Started by ppf, December 08, 2018, 09:45:17 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 08, 2018, 09:45:17 PM Last Edit: December 10, 2018, 04:25:33 PM by ppf
Hallo zusammen,

nachdem mir beim Umstieg von einem anderen Firewall-System auf OPNsense einige Themen hier sehr geholfen haben dachte ich mir ich erstell jetzt mal ein eigenes zu einem "Fehler" zu dem ich bisher nicht viel finden konnte.


Ich betreibe hinter einer FRITZ!Box 7490 (FritzOS 07.01) zwei OPNsense Maschinen in einem HA Setup, das ich nach der Online-Doku eingerichtet habe. Das Setup sieht so aus: FB <-> Switch <-> OPNsense Maschinen.

Das Problem ist nur, dass die FRITZ!Box die virtuelle IP des CARP Interfaces nicht richtig zuordnen kann, mal ist sie der "CARP MAC" zugeordnet, mal der MAC Adresse der physischen NIC meiner Firewall und ab und zu zeigt die Box die CARP IP auf beiden MACs an.
Aus diesem Grund kann ich meine VIP nicht korrekt als "Exposed Host" eintragen und wenn es ganz blöd läuft, wird sie (oder eine meiner Firewalls IPs) sogar von der FRITZ!Box gesperrt.

In einem anderen Forum hieß es, man könne die Netzansicht der FRITZ!Box ignorieren und den "Exposed Host" Eintrag manuell auf die VIP zeigen lassen, dass hat bei mir leider nicht geholfen.

Ich habe das ganze auch mal mit einem anderen geliehenen DSL Modem+Router getestet, dort war das ganze kein Problem und hat super funktioniert.


Jetzt wäre meine Frage, ob jemand dieses oder ein ähnliches Problem schon einmal hatte und mir ggf. weiterhelfen kann.

Danke schonmal für eure Zeit und VG  ;D
December 12, 2018, 04:06:01 PM #1
Hatte parallel zu dem Post noch den AVM Support angeschireben. Die haben auch relativ schnell geantwortet:

Quote... Ja, eine Virtuelle IP/ MAC wird hierbei von der FRITZ!Box so nicht unterstützt, und das mapping der FRITZ!Box, was hierbei dann zur korrekten Funktionalität notwendig wäre, ist aktuell nicht gegeben. Daher wird der Betrieb dabei aktuell auch nicht zugesichert ...

Also falls jemand denselben Fehler haben sollte, es liegt an der FRITZ!Box.
Ich betreibe jetzt ein DrayTek Vigor 130 vor meinen OPNsense Boxen und die FRITZ!Box als "Telefonanlage". Dieses Setup funktioniert super.

Das Thema hat sich damit für mich erledigt. :)
December 13, 2018, 02:01:07 PM #2
> Aus diesem Grund kann ich meine VIP nicht korrekt als "Exposed Host" eintragen und wenn es ganz blöd läuft, wird sie (oder eine meiner Firewalls IPs) sogar von der FRITZ!Box gesperrt.

Sorry das ist so nicht korrekt. Ich habe mehr als ein Setup von CARP Clustern von Kunden - ob OPNsense oder pfSense - hinter FritzBoxen in Betrieb. Das einzige was dabei nicht geht, ist AVMs eigener Quatsch mit Automagischer Detektion des Namens zur IP Adresse. Richtig, das bekommen sie nicht auf die Kette. Und Standardmäßig sieht man bei exposed Host nur die auto-erkannten Hosts. Man kann aber als EH Ziel auch eine _simple_ IP Adresse eingeben OHNE diesen automatisch generierten Käse zu nutzen. Dann klappt das völlig entspannt und problemlos, weil die FB einfach platt alles an die IP schickt und dabei ist ihr die MAC/VIP _VÖLLIG_ egal. :)

Gruß
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
December 21, 2018, 12:19:46 PM #3 Last Edit: December 21, 2018, 03:47:26 PM by ppf
Sorry für die späte Antwort, hatte erst jetzt wieder Zeit reinzuschauen..

Genau mit dieser Methode hatte ich es versucht, so war es glaube ich auch im netgate Forum für pfsense beschrieben. Das hat dann auch kurz funktioniert, teilweise hat mir die Box beim testen aber wieder den Zugriff gesperrt und die ganzen Dinge gemacht, die sie nicht machen sollte. :-\

Ich gehe eigentlich mal nicht davon aus, dass mit 7.01 da irgendwas dran gemacht wurde und ich einfach einen Konfigurationsfehler gemacht hab. Wenn ich ne ruhige Minute hab versuch ichs eventuell noch ein mal und poste dann das Ergebniss.

VG  :)
December 21, 2018, 03:46:49 PM #4
Okay, habe das ganze jetzt noch einmal mit einer 7490 (Werkseinstellungen) probiert.

1) Fritzbox entsprechend konfiguriert (EH auf VIP)
2) Firewalls mit bereits konfigurierter VIP angeschlossen
3) Läuft

Ich weiß tatsächlich nicht warum es jetzt klappt. Könnte sein dass das Problem war, dass ich die VIP im alten Setup eingerichtet habe während die Firewalls noch mit der FB verbunden waren oder es ist an einer anderen Einstellung auf der vorherigen Box gescheitert.. Woran es genau lag kann ich nicht sagen.

Auf jeden Fall nochmals Danke und schöne Feiertage! :)
Print
Go Up Pages1
User actions