opnSense HA mit mehreren virtuellen IPs

Started by BOSSJoe, March 24, 2016, 04:39:30 PM

Previous topic - Next topic
Hallo zusammen,

ich hätte mal eine Frage.

Wir wollen demnächst bei uns in der Firma auf eine hochverfügbare Router/Firewall Lösung auf Basis von opnSense und CARP setzen. Ich konnte das testweise auch schon einrichten und es läuft soweit auch ganz gut.

Leider haben wir hier 8 verschiedene Subnetze im Netzwerk und an der Firewall Hardware "nur" zwei 10Gbit/s Ports LAN seitig. Geplant war diese zu einem LACP Trunk zusammenzufassen und dann darauf virtuelle IPs anzulegen. Bei unserer derzeitigen Lösung auf Basis von pfSense funktioniert das gut.

Mir ist allerdings aufgefallen das die VIPs in der HA Lösung nicht auf den Backupserver übernommen werden. Nur die CARP VIPs werden repliziert.

Kann ich trotzdem die Lösung wie geplant umsetzen? Und wenn ja wie???

Vielen Dank

Joe


Hey Joe,

Spräche etwas dagegen die Subnetze anstatt als VIPs über VLANs als echte IPs zu legen?

Geht das wie beschrieben so in pfSense? Wenn ja, welche Version?

Ad sagte die CARP IPs kann man ja auch anlegen wie man will. Sollte nur nicht gesynced werden ohne Fallback-Strategie.


Grüße
Franco

Hallo und vielen Dank für die schnelle Reaktion,...

Ja ich hatte auch schon an VLANs gedacht es dann eigentlich schnell wieder verworfen. Der Punkt ist, hinter der OPNsense steht eine komplexe Virtualisierungsumgebung mit unterschiedlichen Hypervisoren. Ich müsste jetzt für jedes Subnetz auf jedem Hypervisor einen eigenen virtuellen Switch erstellen und um die Pakete aus dem entsprechenden Subnetz in das richtige VLAN zu bringen.

Vielleicht hab ich aber auch nur einen Denkfehler... Aber dafür bin ich ja hier ;D

Die pfSense kann das im übrigen anscheinend auch nicht. Ist aber auch nicht der Grund warum wir wechseln wollen.

Entschuldige aber deinen letzten Satz verstehe ich nicht so ganz.

Vielen Dank

Joe

Nun, die Virtuellen IPs können nicht übertragen werden ohne CARP-Definition, da ja sonst die gleiche IP 2 Mal besteht. Gibt es aber eine CARP-Definition, dann ist es sicher diese zu synchronisieren.

"Ad" ist ein OPNsense Entwickler. ;)

Er sagt auch ohne VLAN sollte das Setup funktionieren, es muss aber für jedes Subnetz das gleiche gemacht werden: 1 virtuelle lokale IP auf beiden Boxen (kollisionsfrei), und die CARP IP auf beiden. Eventuell geht es sogar ohne die kollisionsfreien IPs, wenn es nicht wichtig ist für das Subnetz manuell Box 1 oder 2 direkt anzusteuern.


Grüße
Franco

Ahhh jetzt ja. Jetzt bin ich glaube wieder bei dir.

Also machen wir das mal an einem Beispiel fest:

1. Ich will das die virtuelle IP 172.16.64.1 auf beiden OPNsense Boxen verfügbar ist.
2. Ich richte auf der ersten OPNsense eine virtuelle IP 172.16.64.2 sowie eine CARP IP 172.16.64.1 ein.
3. Auf der zweiten OPNsense richte ich eine virtuelle IP 172.16.64.3 ein.
4. Im Failoverfall schwenkt die CARP IP 172.16.64.1 von Box 1 nach Box 2...

Hab ich das so korrekt verstanden???

Vielen Dank

Joe

Genau so, sofern die virtuelen IPs im HA-Modus synchronisiert werden (damit die 2. Box auch das entsprechende CARP-Setting erbt).

Hi franco,

alles klar. Vielen Dank!

Ich werde dann mal die Konfig so ausprobieren und berichten ob es funktioniert.

8)

Gruß

BOSSJoe