OPNsense Cluster mit zwei Public IP-Ranges ausstatten

Started by Adolar, June 11, 2021, 12:52:13 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 11, 2021, 12:52:13 PM Last Edit: June 11, 2021, 12:54:18 PM by Adolar
Hallo liebe Community,

ich habe von meinen ISP 2x IP-Ranges bekommen, welche komplett unterschiedlich voneinander sind.
Wie kann ich diese am besten in mein Cluster integrieren?

Aktuell habe ich 1. IP-Range über CARP und Virtuellen IP-Adressen angebunden - funktioniert ohne Probleme.
Auch das OUTBOUND über eine IP-Adresse aus der 1. IP-Range klappt ohne Probleme.

Nun hätte ich die 2. IP-Range genauso angebunden, leider wird mir beim OUTBOUND immer die IP-Adresse von der 1.IP-Range (GW) angezeigt.

Was mache ich falsch?
Any ideas?
June 11, 2021, 03:27:17 PM #1
> Wie kann ich diese am besten in mein Cluster integrieren?

WIE hast du die bekommen? Aufgelegt? Auf ne IP geroutet? Bitte etwas mehr Details.

> Nun hätte ich die 2. IP-Range genauso angebunden, leider wird mir beim OUTBOUND immer die IP-Adresse von der 1.IP-Range (GW) angezeigt.

Vom gleichen Provider macht es keinen Sinn, IPs doppelt aufzulegen. Macht normalerweise auch kein vernünftig denkender Techniker, es sei denn man hat verplant, dass ihr bereits einen vorhandenen IP Range habt. Der zweite Range wird normalerweise immer auf die CARP IP des ersten (oder eines Transfernetzes) geroutet. Alles andere ist quark, auch für den Provider und macht nur unnötig Streß.

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 12, 2021, 07:45:43 AM #2 Last Edit: June 13, 2021, 08:18:53 AM by Adolar
Ok, vll. habe ich mich etwas undeutlich ausgedrückt.

public ip range /28 WAN  ---------------|******************|
                                                         | OPNSENSE cluster     | -------------- LAN ----- Mailserver
public ip range /28 WAN2 ---------------|__________________|


Hierbei geht es um einen virtuellen opnsense cluster aus dem RZ. Ich habe einen zweiten IP-Bereich erhalten, welcher wie in den meisten fällen - nicht identisch ist (der vorhandene wird nicht erweitert).

Ich habe zur vorhandenen WAN Schnittstelle eine weitere WAN2 Schnittstelle erstellt und diese identisch wie WAN eingebunden (WAN physikalisch in opnsense + CARP IPs).

Wenn ich nun die IP-Adressen über WAN2 routen will - im speziellen einen Mailserver, dann funktioniert der OUTBOUND nicht - es wird immer die IP-Adresse von WAN angezeigt.

Ich habe testweise unter "Settings -> Gateways -> Single" das WAN2 auf aktiv gestellt, dann hat der Mailserver die richtige IP-Adresse bekommen, jedoch hatte ich dann Probleme mit dem WAN IP-Bereich.

Ich vermute ich muss beide Gateways auf "aktiv" setzen, damit diese routbar sind?
Muss ich da ggfls. eine statische route eintragen über welches gateway die spezielle ip geroutet werden soll?
Das kann ich mir irgendwie nicht vorstellen.
June 13, 2021, 12:17:16 PM #3
Ich habe das Thema nun folgendermaßen gelöst:

Neue Firewall Regeln wurden erstellt:
1. DNS Regel
2. Mailserver über WAN2 (Policy based routing)

Details siehe Anhang
Print
Go Up Pages1
User actions