OpenVPN über virtuelle IP ?

[tbarth]

Hallo,

ich habe derzeit eine Backup-Firewall eines HA-Setups für einen schrittweisen Umzug an einem anderen Standort untergebracht und die neuen IP-Adressen eingetragen. Eine VPN-Verbindung über die WAN-IP funktioniert, aber nicht über die WAN-VIP. Die WAN-VIP kann aber angepingt werden und wird als Carp-Master im Dashboard angezeigt. Was war noch einmal die Voraussetzung, damit eine VPN-Verbindung auch über die virtuelle IP funktioniert? Muss da irgendwo noch eine Regel eingetragen werden? Eine VPN-Verbindung über die VIP der Master-Firewall am alten Standort funktioniert hingegen. Deshalb bin ich da nun etwas verwirrt. Danke für eine evtl. Hilfestellung!

[tbarth]

Hallo,
ich hätte noch eine andere Frage. Ist es normal, dass man die FW nicht mehr anpingen kann, wenn sie sich im Backup-Status befindet, auch wenn sie eine eigene WAN Adresse hat? Ich teste hier immer erst alles in einer virtuellen Umgebung unter Windows 10 / Virtualbox mit VM für opnsense1/2 und Debian).

opnsense1 WAN 192.168.178.34
opnsense VIP WAN 192.168.178.35
opnsense2 WAN 192.168.178.36

Wenn ich bei opnsense1 den Button "Enter persistent CARP maintenance mode" drücke, kann ich die 192.168.178.34 von Debian aus, das sich im LAN der FW befindet, nicht anpingen. Ist das normal?

Von Windows aus der Kommandozeile heraus kann ich die drei IPs allerdings gar nicht anpingen, dabei habe ich ICMP in den Rules freigegeben.

[Patrick M. Hausen]

Ob das normal ist oder nicht hängt davon ab, wie genau du "ICMP freigegeben" hast. Zeig doch mal die Regel.

Ich hab eine floating rule, die ICMP echo auf allen interfaces für jede Quell- und Zieladresse erlaubt. Ich kann jederzeit alle Interfaces von beiden Systemen anpingen.

[tbarth]

Hier die von mir eingefügte ICMP - Regel. Unter floating sind jede Menge automatisch generierte Regeln auch für ICMP, jeweils für IPv4 u. 6. Dann müsste es doch eigentlich damit schon funktionieren.

Firewall: Rules: WAN

Protocol IPv4 ICMP
Source *
Port *
Destination *
Port *
Gateway *


Wie macht ihr das hier mit dem Kopieren von Regeln für das Forum? Ich kann doch jetzt nicht alle Regeln abschreiben, Screenshot klappt nicht unter Debian in einer VM.

[JeGr]

> Unter floating sind jede Menge automatisch generierte Regeln auch für ICMP, jeweils für IPv4 u. 6. Dann müsste es doch eigentlich damit schon funktionieren.

Nein, da es KEINE automagische Regel gibt die die Firewall auf dem WAN/LAN erstmal exponiert. WAN ist default dicht und LAN ist per Regel auf dem LAN IF erstmal per default offen. Nicht mehr, nicht weniger. Alle Regeln die da ausgeblendet automagisch angelegt sind, sind im Normalfall Regelwerk, das Grundfunktionalität sicherstellt wie eben DHCP oder AUSgehender Traffic VON der Firewall nach außen (egal wohin, LAN, WAN, whatever). Das sind meistens keine EINgehenden Regeln (außer für sowas wie IPsec oder DHCP).

Daher bin ich auch absolut kein Freund wenn man sich nicht auskennt gleich mit Floating Regeln zu spielen, weil den wenigsten Anwendern klar ist, was mit IN/OUT/BOTH bei der Richtung oder mit QUICK/non-Quick als Abarbeitung gemeint ist.

Deshalb braucht man für ICMP Echo Request erstmal Regeln sonst gibt es keine Ping Antwort. Dazu muss man auch noch beachten dass die WAN IP != der WAN VIP ist. Ggf. fehlt also eine Regel für die VIP.

> Was war noch einmal die Voraussetzung, damit eine VPN-Verbindung auch über die virtuelle IP funktioniert?

* VIP muss aktiv auf dem Knoten sein (State Master)
* VIP muss erreichbar sein (Regeln auf dem Interface)
* Routing der VIP (sofern anderer IP Range) oder auflegen der VIP (CARP IP) muss passen

> Muss da irgendwo noch eine Regel eingetragen werden?

Sicher, eine VIP wird nicht automagisch einfach freigegeben. OpenVPN erzeugt keine auto-Regeln, IPsec dagegen schon sofern nicht abgeschaltet.

> Ist es normal, dass man die FW nicht mehr anpingen kann, wenn sie sich im Backup-Status befindet, auch wenn sie eine eigene WAN Adresse hat?

Nein, dann ist etwas grundsätzlich falsch. Entweder gibt es keine korrekte ICMP Regel, die auf dem WAN Ping erlaubt (WAN address für ICMP Typ Echo Request erlauben) oder WAN address wird nicht korrekt gemappt weil noch weitere IPs existieren. Dann mit einem eigenen Alias in dem alle IPs auf dem WAN enthalten sind anlegen (IP von Master und Backup node sowie VIP sollten dann drin sein).

> kann ich die 192.168.178.34 von Debian aus, das sich im LAN der FW befindet, nicht anpingen. Ist das normal?

Ja weil das ein Nonsense-Test ist. WAN testet man nicht von LAN aus, sondern vom WAN. Alles andere geht meistens schief. Dein Debian hat jetzt nämlich den Backup Node als neuen Master und Default GW und dann versuchst du über den 2. Node den 1. Node auf dem WAN zu erreichen was meistens weird geroutet und asymmetrisch zurück kommt. Und damit gibts gern Probleme.

Wichtiger ist da eher ob die LAN von den Geräten noch geht. Also wenn es bspw. IP .1, .2 und .3 sind und .1 die VIP und .2 Master und .3 Backup Node ist, wäre es wichtig zu sehen, ob die IP .2 noch geht wenn er auf die .3 Failover macht. Und von extern muss man dann von "vorne" am WAN direkt testen.

Andernfalls müsste man ne custom outbound NAT basteln, der den Zugriff auf die externe IP der jeweils anderen Firewall über die eigene WAN IF Adresse mappt damit der Zugriff nicht asymmetrisch zurück kommt, sondern brav den richtigen Weg zurückroutet.

Hoffe das bringt Licht ins Chaos.

Cheers
\jens

[tbarth]

Hallo,
danke, dass du Dir die Zeit genommen hast, auf meine Fragen einzugehen. Ich meine, dass das "Chaos" eigentlich überschaubar ist. Es kommt jetzt vielleicht nur so rüber, weil ich bei meinem Problem auch noch meine Test-Umgebung ins Spiel bringe. Ich habe die echten Firewalls nach folgenden Dokus mit meinen verfügbaren IPs eingerichtet:

https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten
und
https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten

Und für VIP habe ich die CARP-Regel drin.

Firewall: Rules: WAN
Protocol IPv4 CARP
Source WAN net
Port *
Destination WAN net
Port *
Gateway *

Firewall: Rules: LAN
Protocol IPv4 CARP
Source LAN net
Port *
Destination LAN net
Port *
Gateway *

Deshalb ist es mir unbegreiflich, warum die OpenVPN-Verbindung auf der WAN IP funktioniert und nicht auf der WAN VIP (Backup zu Master geworden am neuen Standort). Ich werde noch einmal alles durchgehen.

[JeGr]

Wofür sind die Typ CARP Regeln? Die sollten IMHO automatisch erstellt werden und unnötig sein. Selbst wenn nicht machen die nichts weiter als CARP freigeben, damit die VIP ordentlich funktioniert und von A nach B schwenken kann. Mehr nicht. Da erlaubt aber noch nichts irgendwelche Zugiffe auf die VIP wenn du keine einrichtest.

Ohne mehr Details oder Screenshots kann man somit da leider sonst recht wenig zu sagen.

Cheers