Author Topic: IPSec HA und mit zwei Static IP's möglich? (Read 2089 times)

c-mu · « **on:** August 21, 2019, 02:07:17 pm »

Hallo Community,
ich habe an einem Standort zwei OPNSense 19.7.2 im HA Setup laufen. Zur Zeit wird ein S2S VPN Tunnel via OpenVPN aufgebaut. Funktioniert auch tadellos.

Nun möchte ich aus Performance gründen auf IPSec umstellen, da ich dies sowieso schon für die meisten anderen Niederlassungen so betreibe. Jetzt stellt sich mir die Frage:

beide OpnSense Server gehen mit einer public und static IP ins Internet. Dem OpenVPN ist das egal, da hier via Zertifikate und PSK sichergestellt wird, dass es seine Richtigkeit hat. Aber IPSec verlangt ja eine Public IP des Remote Gateways.

Habt ihr einen Vorschlag, wie ich das lösen kann? Kurze Überlegung war, einfach zwei IPSec Tunnel aufzubauen, aber das macht das Routing zum Zielnetz schwierig oder ggf. sogar unmöglich.

Nächste Überlegung war, via DynDNS Dienst die IP zu einem FQDN zu aktualisieren, aber kann ich verhindern, dass der HA Slave seine IP einträgt, solange der Master Up and Running ist?

Denke ich zu kompliziert?
Danke für Anregungen!

mimugmail · « **Reply #1 on:** August 21, 2019, 02:50:20 pm »

Public und static heißt du hast 2 WANs?

c-mu · « **Reply #2 on:** August 21, 2019, 02:56:47 pm »

Korrekt!

mimugmail · « **Reply #3 on:** August 21, 2019, 03:11:34 pm »

Dann mit IKEv2 und respond-only und DynDns

c-mu · « **Reply #4 on:** August 21, 2019, 03:15:03 pm »

Okay klingt gut.
Bzgl DynDNS: bin da jetzt noch nicht auf der Höhe: beim DynDNS dann zwei IP's hinterlegen? In diesem Fall brauche ich gar keinen DynDNS sondern registriere mir einfach eine subdomain und hinterlege die beide IP's.
Wenn tatsächlich nur eine IP hinterlegt sein darf: sorgt der HA Mode vom OpnSense zufällig dafür, das nur der Master seine IP bei einem der Dienstleister registriert? Weißt du das?

mimugmail · « **Reply #5 on:** August 21, 2019, 10:17:15 pm »

Wenn OPNsense Client ist kannst du nur eine IP oder DNS hinterlegen, also brauchst du DynDns damit im Falle eines Wechsels die neue IP bekannt ist. Gibt natürlich einen delay, aber geht nicht anders. Manche Hersteller bieten auch ne Backup IP an, aber kommt halt auf die Gegenstelle an

c-mu · « **Reply #6 on:** August 23, 2019, 10:59:53 am »

Okay ich bin jetzt soweit, dass die beiden Server im HA Mode DynDNS eingerichtet haben und offensichtlich nur der Master das Update pusht, das ist schonmal gut.

Als nächstes werde ich dann einen IPSec HA mit der DynDNS einrichten und schauen, wie lange der Slave braucht um die IP zu aktualisieren + wie schnell "das Internet" davon erfährt, wenn der Master aus ist. Ich denke mit ein paar Minuten delay können die Niederlassungen gut leben. Alles besser als erst einen Service vor Ort zu bestellen oder neue Hardware hinzuschicken.

Danke soweit!

Author Topic: IPSec HA und mit zwei Static IP's möglich? (Read 2089 times)

c-mu

IPSec HA und mit zwei Static IP's möglich?

mimugmail

Re: IPSec HA und mit zwei Static IP's möglich?

c-mu

Re: IPSec HA und mit zwei Static IP's möglich?

mimugmail

Re: IPSec HA und mit zwei Static IP's möglich?

c-mu

Re: IPSec HA und mit zwei Static IP's möglich?

mimugmail

Re: IPSec HA und mit zwei Static IP's möglich?

c-mu

Re: IPSec HA und mit zwei Static IP's möglich?