Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPNsense HA Cluster Wireguard
« previous
next »
Print
Pages: [
1
]
Author
Topic: OPNsense HA Cluster Wireguard (Read 1805 times)
maxidalli
Newbie
Posts: 16
Karma: 0
OPNsense HA Cluster Wireguard
«
on:
January 13, 2023, 11:58:22 am »
Hallo zusammen,
ich habe mal eine Frage zum Thema Wireguard auf OPNsense in Verbindung mit einem HA Cluster.
Mit wireguard-go ist es ja leider nicht möglich, Wireguard ausfallsicher im HA Cluster zu betreiben.
Eine Möglichkeit die funktioniert ist wireguard-kmod zu nutzen. Diese kann dann im HA Betrieb mit Virtual IP umgehen. Nun ist es natürlich leider so das der wireguard-go Service gestoppt ist da wireguard-kmod läuft, wodurch auch der Sync der Wireguard Endpoints zwischen fw01 und fw02 nicht mehr läuft.
Hat hierfür jemand eine Lösung? Oder ist der einzige Weg aktuell die Endpoints auf beiden dann einzutragen?
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OPNsense HA Cluster Wireguard
«
Reply #1 on:
January 13, 2023, 06:56:57 pm »
Sicher das der Sync dann nicht geht? Es wird ja nur kein Prozess gefunden aber enabled bleibt
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Patrick M. Hausen
Hero Member
Posts: 6841
Karma: 574
Re: OPNsense HA Cluster Wireguard
«
Reply #2 on:
January 13, 2023, 06:58:44 pm »
Auf die 23.1 warten? wireguard-kmod serienmäßig ist eines der Haupt-Features.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
franco
Administrator
Hero Member
Posts: 17665
Karma: 1611
Re: OPNsense HA Cluster Wireguard
«
Reply #3 on:
January 13, 2023, 07:43:09 pm »
23.1 ändert nichts ausser dass kmod statt go im Standard verwendet wird und beides in der GUI als Plugin auftaucht. Der Rest bleibt so wie es ist...
Grüsse
Franco
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OPNsense HA Cluster Wireguard
«
Reply #4 on:
January 13, 2023, 07:52:20 pm »
Kmod löst auch nicht das Problem dass die Backup Kiste Pakete schickt und dann den Tunnel durcheinander bringt
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Patrick M. Hausen
Hero Member
Posts: 6841
Karma: 574
Re: OPNsense HA Cluster Wireguard
«
Reply #5 on:
January 13, 2023, 08:23:30 pm »
Funktioniert es denn nicht, ein eingehendes Port-Forwarding von der CARP-Adresse nach 127.0.0.1 zu legen? Die Antwort-Pakete müssten dann vollautomatisch auf die CARP-Adresse geNATet werden.
Und dann je nach Gegenseite:
- ist die Gegenseite ein "road warrior", dann hat man auf dem HA-Cluster sowieso keine IP-Adresse für den Peer und wartet auf eigehende Verbindungen.
- ist die Gegenseite eine OPNsense oder wieder ein HA-Cluster, erlaubt man überall die eingehenden Pakete per Firewall-Regel nur von den richtigen Gegenstellen, also den CARP-Adressen.
Drops gelutscht oder was übersehe ich?
Site-2-Site VPNs mit dynamischen IP-Adressen mache ich grundsätzlich nicht. Alles Business-Leitungen hier.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OPNsense HA Cluster Wireguard
«
Reply #6 on:
January 13, 2023, 08:31:14 pm »
Ich kenns bisher nur vom lesen, bzw negativen Kommentaren. Was ist denn wenn ein Paket von der FW lokal erzeugt wird, z.B. DNS, dann will ja auch FW2 das in einen Tunnel packen. Und wenn es CARP source sein soll brauchst du ein outbound nat oder nicht?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Patrick M. Hausen
Hero Member
Posts: 6841
Karma: 574
Re: OPNsense HA Cluster Wireguard
«
Reply #7 on:
January 13, 2023, 09:12:33 pm »
Wenn ein DNS-Request durch den Tunnel soll, setzt man query-source-address oder transfer-source-address auf die
innere
Tunnel-Adresse
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OPNsense HA Cluster Wireguard
«
Reply #8 on:
January 13, 2023, 09:25:56 pm »
Ist mir immer noch zu hacky
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Patrick M. Hausen
Hero Member
Posts: 6841
Karma: 574
Re: OPNsense HA Cluster Wireguard
«
Reply #9 on:
January 13, 2023, 09:48:33 pm »
Nö, genau so geht das
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
maxidalli
Newbie
Posts: 16
Karma: 0
Re: OPNsense HA Cluster Wireguard
«
Reply #10 on:
January 21, 2023, 10:05:00 am »
Hallo zusammen,
entschuldigt bitte meine späte Antwort, ich war der Meinung, ich werde eine Mail Benachrichtigung bekommen, wenn jemand antwortet.
Vielen Dank erstmal für die vielen Antworten und die rege Diskussion finde ich klasse!
Nun habe ich wireguard-kmod auf beiden OPNsense’s laufen und auch der Sync funktioniert, sobald ich einen Endpoint auf der fw01 einrichte.
Wenn man nun aber einen Ausfalltest macht und von extern via Wireguard verbunden ist, bekommt man ca. 3–4 Zeitüberschreitungen während einem Ping auf die CARP LAN IP. Ich weiß, dass dort natürlich die Verbindung von fw01 auf fw02 umspringt, kann man diese aber eventuell optimieren?
Ebenso wenn die fw01 wieder online ist, wechselt OPNsense wieder auf die fw01 wodurch man wieder die 3–4 Zeitüberschreitungen hat. Gibt es eine Möglichkeit, einzustellen, dass die fw02 nach einem Ausfall weiterhin als Master läuft, ohne dass eben dieser Wechsel auf fw01 passiert? Den Wechsel das fw01 wieder Master wird, würde ich dann einfach Abends oder Nachts durchführen.
Danke und Gruß
Max
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OPNsense HA Cluster Wireguard
«
Reply #11 on:
January 21, 2023, 10:10:12 am »
4 Pings ist doch super, OpenVPN kann bis zu 120 Sekunden dauern (wenn nicht optimiert)
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
maxidalli
Newbie
Posts: 16
Karma: 0
Re: OPNsense HA Cluster Wireguard
«
Reply #12 on:
January 21, 2023, 01:48:11 pm »
Joa besser als openvpn sicherlich. Aber vielleicht kennt ja jemand noch einen Trick, um es noch mehr runter zu treiben.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPNsense HA Cluster Wireguard