Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
HA via OSPF statt CARP
« previous
next »
Print
Pages: [
1
]
Author
Topic: HA via OSPF statt CARP (Read 1012 times)
Benji0
Newbie
Posts: 2
Karma: 0
HA via OSPF statt CARP
«
on:
August 03, 2023, 05:54:05 am »
Guten Morgen,
wenn man nach OpnSense und HA sucht findet man eigentlich immer nur die Konfiguration über CARP. Wäre es nicht trotzdem möglich ein HA über OSPF zu machen. Wenn dann eine der Firewalls ausfällt, würde halt die Route einfach nicht mehr kommuniziert. Könnte das nicht sogar schneller sein, wenn die Backup-FW die VIP übernehmen muss?
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: HA via OSPF statt CARP
«
Reply #1 on:
August 03, 2023, 06:32:50 am »
Das gibt's schon, das ist die carp demote Funktion is ospf, dann sind die Kosten auf dem Backup immer höher. Musst halt in General den carp failover ausschalten (der macht die brachiale Methode)
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Patrick M. Hausen
Hero Member
Posts: 6843
Karma: 574
Re: HA via OSPF statt CARP
«
Reply #2 on:
August 03, 2023, 10:35:20 am »
Dazu brauchst du halt noch einen weiteren Router, der die Routen der OPNsense-Systeme per OSPF entgegen nimmt und dann bei Ausfall umschaltet. Und den brauchst du auch wieder redundant ... und wie sollen die Clients einen Ausfall eines der beiden Router mitkriegen?
CARP ist für Clients. Normale PCs sprechen kein OSPF ... nur Infrastruktur tut das.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Benji0
Newbie
Posts: 2
Karma: 0
Re: HA via OSPF statt CARP
«
Reply #3 on:
August 03, 2023, 08:21:44 pm »
Erst mal besten Dank für die Antworten.
Um unser Szenario etwas auszuführen:
Von unserem Provider haben wir 2 Uplinks, an denen wir an seinem "privaten" BGP teilnehmen müssen. Privat im Sinne von: Dass da keine komplette Internet-Prefix-Liste drüber geht. Wir bekommen nur eine Default-Route und wir announcen unseren eigenen Prefix (unseren Netzbereich).
Auf der LAN-Seite haben wir bereits unsere Router-Infrastruktur, die OSPF macht.
"Da zwischen" wollen wir jetzt Active/Passive zwei OpnSense-Boxen (mit StateSync) hängen, sind uns aber noch nicht ganz schlüssig, welches die beste Variante fürs FailOver Richtung LAN ist. CARP-Failover ist natürlich schön einfach und sollte definitiv funktionieren. Direkt mit OpnSense am OSPF teilzunehmen klingt für unser Szenario aber auch sympatisch. Das dürfte dann ja vermutlich schneller mit dem FailOver-Prozess sein als CARP-Failover (OSPF braucht ja kein MAC re-learning beim "Umschalten" der VIP, wenn ich das richtig verstehe). Nur findet man dafür recht wenig Infos bzw. Erfahrungsberichte.
Deswegen wollte ich noch mal nachfragen, was das Forum so denkt :-) Hat evtl. jemand OSPF zwecks Failover am OpnSense im Betrieb und kann berichten?
Danke!
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: HA via OSPF statt CARP
«
Reply #4 on:
August 03, 2023, 08:26:40 pm »
Ich habs 2 mal bei Kunden implementiert, war reines Consulting, hab nichts mehr von denen gehört, also gehe ich davon aus dass es klappt.
Ad hat das Feature damals für ne Bank implementiert, da gab's sicher auch ne Abnahme
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Patrick M. Hausen
Hero Member
Posts: 6843
Karma: 574
Re: HA via OSPF statt CARP
«
Reply #5 on:
August 03, 2023, 08:26:50 pm »
Wenn direkt an den OPNsense keine Clients hängen, sondern nur weitere Router, halte ich OSPF für sinnvoller. CARP ist wie schon geschrieben für Clients mit einem einzigen statischen Default-Gateway.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
HA via OSPF statt CARP