OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • HA - Erreichbarkeit der Backup-Firewall per OpenVPN
« previous next »
  • Print
Pages: [1]

Author Topic: HA - Erreichbarkeit der Backup-Firewall per OpenVPN  (Read 1249 times)

mscd

  • Newbie
  • *
  • Posts: 39
  • Karma: 0
    • View Profile
HA - Erreichbarkeit der Backup-Firewall per OpenVPN
« on: June 30, 2021, 07:15:57 pm »
Hallo zusammen,

ich setze derzeit ein Testsetup mit zwei OPNsense-Appliances (Master/Backup-HA) auf, was soweit ganz gut klappt. Bei der Inbetriebnahme von OpenVPN bin ich nun auf das Problem gestoßen, dass ich per externer VPN-Verbindung (VPN-Netz 10.200.2.0/24) zwar die Master-Firewall (im Netz 10.12.0.0/24) erreiche, aber nicht die Backup-Firewall (auch im Netz 10.12.0.0/24).
Grund hierfür wird wohl meiner Einschätzung nach die Tatsache sein, dass die Backup-Firewall nicht "weiß" wo es die Anfragen der VPN-Clients (aus 10.200.2.0/24) zurücksenden soll, so dass dort dann einfach das Standardgateway (des WAN-Interface) genommen wird, was natürlich nicht klappen kann.

Kann mir hier jemand einen Tipp geben, wie man in einem HA-Setup eine "saubere Erreichbarkeit" von Master- und Backup-Appliance per VPN konfigurieren kann.

Schöne Grüße und besten Dank,
mscd
« Last Edit: June 30, 2021, 08:26:36 pm by mscd »
Logged

CoolTux

  • Full Member
  • ***
  • Posts: 138
  • Karma: 4
    • View Profile
Re: HA - Erreichbarkeit der Backup-Firewall per OpenVPN
« Reply #1 on: July 01, 2021, 05:13:56 am »
Das Thema gab es hier so vor einem Jahr mal. Am besten die Suche probieren.
Ich glaube mich erinnern zu können das dies mit statischen Routen gelöst wurde. Bin mir aber unsicher.
Logged

JeGr

  • Hero Member
  • *****
  • Posts: 1945
  • Karma: 227
  • old man standing
    • View Profile
Re: HA - Erreichbarkeit der Backup-Firewall per OpenVPN
« Reply #2 on: July 01, 2021, 04:11:38 pm »
> dass ich per externer VPN-Verbindung (VPN-Netz 10.200.2.0/24) zwar die Master-Firewall (im Netz 10.12.0.0/24) erreiche, aber nicht die Backup-Firewall (auch im Netz 10.12.0.0/24).

Du meinst Roadwarrior Einwahl? Auf der primären FW? Und dann kommst du an die Secondary nicht ran?

Das ist ein recht einfacher Kniff: Erstelle eine Outbound NAT Regel auf das Interface, das du versuchst von der 2. Firewall zu erreichen (ihre LAN oder MGMT Adresse - kenne dein Setup nicht). Also bspw. du willst per VPN auf beide FWs per LAN IP zugreifen:

* NAT Outbound Regel
* Interface LAN
* Source: das OpenVPN Einwahl Netz
* Ziel-IP: die IP der 2. Firewall im LAN
* NAT Adresse: meine Interface Adresse

Damit wird dann beim Zugriff auf die 2. FW via LAN IP der Zugriff geNATtet und kommt "anscheinend" von der 1. FW, die die 2. problemlos erreichen kann -> und damit klappt dann auch der Rückweg der IP Pakete.
Anders gehts schlecht, da beide Firewalls - klar aus Redundanzgründen - das RoadWarrior VPN Netz aktiv bei sich selbst geroutet kennen und daher die 2. FW die Rückpakete verschluckt, da sie die an ihren eigenen VPN Server weiterreicht und der sie verwirft.

Cheers
Logged
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.

mscd

  • Newbie
  • *
  • Posts: 39
  • Karma: 0
    • View Profile
Re: HA - Erreichbarkeit der Backup-Firewall per OpenVPN
« Reply #3 on: July 02, 2021, 11:07:59 pm »
Danke für den Tipp … mit der NAT-Regel läuft es nun wie gewünscht.
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • HA - Erreichbarkeit der Backup-Firewall per OpenVPN
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2