International Forums > German - Deutsch

OPNSense CARP mit VIPs

(1/1)

hazard:
Guten Morgen,

Ich habe mal eine etwas komplexere Frage:

Ich habe zwei Hardware OPNSense welche in unseren RZs via CARP Link alle Interfaces austauschen.

Jetzt geht es um folgendes. Ich habe mehrere Kunden Firewalls (ca. 30 OPNSense) welche sich untereinander nicht unterhalten dürfen, dennoch auf die Interfaces der beiden Hardware Router zugreifen müssen, da sich hier WSUS und Monitoring Tools befinden.

Jetzt wurde von mir eines der Interfaces so konfiguriert, dass es über eine VHID Gruppe ein CARP Interface wird. (/29 Netz mit 3 vergebenen IPs).

VLAN 300
Beispiel: Router1 = 192.168.1.4/29; Router2 = 192.168.1.5/29; CARP IP = 192.168.1.6/29 (VHID1)

So das CARP steht und funktioniert auch soweit.

Geplant ist jetzt folgendes: Da ich mir VLANs sparen möchte, will ich jetzt für Jede virtuelle Firewall ein /29 Netz reservieren und dies als IP Alias auf dem CARP Interface (VHID1) anlegen.

Beispiel:
Router CARP VIP (IP Alias auf CARP 192.168.1.6/29) = 192.168.1.14/29 <-> 1. virtuelle Maschine 192.168.1.13/29 (z. B.)

Router CARP VIP (IP Alias auf CARP 192.168.1.6/29) = 192.168.1.22/29 <-> 2. virtuelle Maschine 192.168.1.21/29 (z. B.)

Die IP Aliases wurden ebenfalls mit VHID Gruppe 1 versehen, da alle Aliases geschwenkt werden sollen, sobald da CARP Seitig keine Antwort mehr kommt.

Der letzte Schritt ist jetzt ein Aufbau eines IPSEC Tunnels auf diesen /29 Netzen jeweils zwischen der IP Alias Adresse und der entsprechenden virtuellen Maschine in dem Segment.

Beispiel an 1. virtuelle Maschine:

Right Side = 192.168.1.14; Left Side = 192.168.1.13

Der Sinn dahinter ist denke ich klar. Verschlüsselter Traffic der von Haus aus ohne NAT etc. erstmal keinen Traffic aus Netzen sieht, die er nicht sehen soll.

Jetzt habe ich alles erfolgreich getestet etc. Leider habe ich aber das Problem, dass wenn der Master offline geht, meine IPSEC Tunnel nicht übergeben werden. (Ping funktioniert aber in jedem /29 Netz weiterhin).
Liegt das daran, dass die Interfaces als IP Alias angelegt sind?

Muss ich stattdessen in jedem /29 Netz wieder zwei IP Aliases auf den Hardware Routern anlegen und eine CARP Adresse mit andere VHID Gruppe generieren? Ich frage lieber bevor ich wieder Arbeit reinstecke.  :)

Hoffe ich habe das alles einigermaßen Verständlich formuliert.
Vielen Dank vorab

hazard:
Problem wurde gelöst mit dem setzen des Häkchens "disable MOBIKE".

mimugmail:
Mit IKEv1?  ;) 8)

Navigation

[0] Message Index