Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Denkansatz - Wireguard als Responder im HA mit CARP
« previous
next »
Print
Pages: [
1
]
Author
Topic: Denkansatz - Wireguard als Responder im HA mit CARP (Read 480 times)
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1614
Karma: 176
Denkansatz - Wireguard als Responder im HA mit CARP
«
on:
July 03, 2023, 02:24:13 pm »
Ich würde gerne wissen ob es Sinn ergibt das Wireguard HA Problem durch folgenden Denkansatz zu umgehen:
1. Konfiguration:
- Wireguard ist in der Opnsense nur als Responder eingestellt, in den Wireguard Peers sind keine Ziele eingetragen. Externe Wireguard Clients sind der Initiator, und senden an die CARP VIP der Opnsense den Handshake.
2. Problem
- Wenn Wireguard im HA betrieben wird, und sich die CARP VIP von MASTER zu BACKUP ändert, kann es passieren, dass der neue BACKUP, wenn er noch auf Layer 3 erreichbar ist, weiter die Wireguard Handshakes von der Source IP des WAN Interfaces sendet. CARP VIP wird von Wireguard aufgrund der Funktionsweise in FreeBSD (Gebunden an alle Interfaces) nicht als Source verwendet.
3. Lösungsansatz:
- Ich würde gerne wissen, ob man dieses Problem umgehen kann, wenn in
Firewall - Rules - Floating
eine Regel für
Direction out
von Interface
Wireguard Group
anlegt, die
UDP Any
von
This Firewall
verbietet.
- Dadurch würden mit der Regel alle Wireguard Sessions, welche die Opnsense zu initiieren versucht, geblockt werden. Da die Firewall im Stateful Modus läuft, könnte aber der externe Wireguard Client einen Handshake schicken, und würde dann, weil eine Session initiiert wird, immer vom aktuellen CARP VIP Master eine Antwort erhalten.
Logged
Hardware:
DEC740
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Denkansatz - Wireguard als Responder im HA mit CARP