Routing VPN mit zwei OPNSenses im gleichen LAN

[jwadmin]

Hallo und guten Tag!

Ich habe ein Problem mit zwei OPNSenses im gleichen LAN in Bezug auf Routing:

Szenario:
- OPNSense1 als LAN-Standardgateway IP xxx.xxx.xxx.254/24 (für alle Geräte im LAN), mit eigenem Internetanschluss und OpenVPN-Netz 10.20.30.0/24 auf Port 1194

- OPNSense2 (als nicht-automatisches "Fallback" für den Fall eines Internetausfalls bei OPNSense1) mit LAN-IP xxx.xxx.xxx.253/24, ebenfalls mit eigenem Internetanschluss und OpenVPN-Netz 10.20.31.0/24 auf Port 1195

Wie man eine Multi-Wan-Verbindung mit einer OPNSense konfiguriert, ist mir bekannt, jedoch ist das aus baulichen Gründen nicht möglich, trägt an dieser Stelle m.E. auch nichts zum eigentlichen Problem bei.

Das VPN zu beiden OPNSenses funktioniert, doch natürlich werden die Verbidungen von/zu den Clients (zb RDP) via Standardgateway (also OPNSense1) abgewickelt, was dazu führt, dass RDP-Verbindungen via VPN über die OPNSense2 nicht funktionieren. Traceroute sowie Ping vom verbindungsherstellenden Client (zur OPNSense2) aus geben jedoch jeweils gültige Antworten auf beliebige PCs im LAN zurück, auch die Namensauflösung gibt die korrekten IPs der Clients im LAN zurück.

An der OPNSense1 habe ich einen zweiten Gateway mit der IP xxx.xxx.xxx.253 (also die OPNSense2) sowie eine Route zum VPN-Netz 10.20.31.0/24 der OPNSense2 erstellt. Diese Route funktioniert wohl auch, denn wenn ich sie deaktiviere, geben Traceroute und Ping keine Werte mehr zurück.

Mit VPN via OPNSense2 können also keine RDP-Verbindungen zu den Clients aufgebaut werden, da sie ja nicht der Standardgateway fürs LAN ist, das habe ich mit dem Routing auf OPNSense1 versucht, entsprechend zu konfigurieren.

Da ich ähnliche Szenarien in der Vergangenheit zB mit Lancom-Routern durch entsprechendes Routing habe konfigurieren können, scheitere ich jedoch an der OPNSense diesbezüglich.

Das müsste doch gerade mit der OPNSense realisierbar sein? Habe ich evtl. Regeln falsch oder gar nicht konfiguriert? Wenn ja, welche Regeln müssten das sein?

Ich hoffe, ich habe das Problem so formulieren können, dass man es nachvollziehen kann und dass jemand das entsprechende Know-How hat, um mir bei der Lösung behilflich zu sein.

Ich bedanke mich im Voraus dafür!

[inkasso]

Bin mir nicht ganz sicher, ob ich richtig verstanden hab,was du vor hast. Es klingt für mich aber so, als ob du ein HA-Proxy möchtest.

Das ist ein Modus, der ermöglicht, dass mehrere Geräte als Gruppe agieren und wenn eins ausfällt, bleibt das Netzwerk weiterhin unverändert funktionsfähig.
Link zur Doku: https://docs.opnsense.org/manual/hacarp.html

[jwadmin]

...nein, was ein HAProxy macht, weiss ich, hier geht es nur um Routing bzw Regeln der Firewall, aber vielen Dank für Deine Antwort!

[jwadmin]

...was ich noch erwähnen wollte:

Wenn ich eine Route auf den (Windows)-Clients setze, also "route add 10.20.31.0 mask 255.255.255.0 xxx.xxx.xxx.253", kann ich mich per RDP mit jedem Client, der diese Route gesetzt hat, verbinden, ich könnte mir also so behelfen.

Aber sauberer wäre es, wenn das die OPNSense1 regeln würde.