WAN Failover mittels LTE-Router/Modul

[pascal585]

Hi Leute,

Kurz zu meinem Setup:
ig0: WAN DSL (public IP)
igc1-igc2: LAGG LACP (192.168.0.0/24) -> Das ist DIE Schnittstelle an der alle APs, Switches usw. angeschlossen sind.
igc3: LAN (192.168.1.0/24) -> Notfallzugang, falls ich LAGG aus Versehen abschieße. :D

IP-Adresse der OPNsense: 192.168.1.1

Ziel: Ich möchte gern ein WAN Failover mittels zusätzlichem LTE-Router/Modul realisieren.

Problem: Aufgrund von Ethernet-Schnittstellenmangel dachte ich ursprünglich an ein LTE-Modul (M.2). Leider musste ich feststellen, dass es aufgrund mangelnden Supports durch FreeBSD vielleicht doch keine so gute Idee ist. Nun bin ich wieder bei LTE-Routern gelandet, wo ich keine Treiberprobleme bekomme. Allerdings müsste ich dafür das LAN auf igc3 abschalten, somit wäre die OPNsense über die interne IP-Adresse nicht mehr erreichbar. Mir wäre es eh am liebsten, wenn die OPNsense im 192.168.0.0er Netz wäre. Kann ich die IP der OPNsense einfach zu 192.168.0.1 ändern und dann igc3 umbelegen (WAN-LTE)?

Ich freue mich sehr über eure Ratschläge und Ideen.

Viele Grüße
Pascal

[tiermutter]

Moin,

ich verstehe die Problematik / Fragestellung nicht so recht.

Über igc1-2 (LAN) hast Du doch Zugang zur Sense, oder nicht, und igc3 dient nur als Fallback?
LAN hat ja schon das Netz 192.168.0.0, so wie Du es haben willst und es würde nur das Fallback entfallen.
Oder ist igc3 eigentlich kein Fallback sondern das Management Interface? Das ließe sich ja auch über ein VLAN auf dem LAN realisieren.

Ich würde halt einfach LTE an igc3 dranhängen, das Netz könnte dabei so bleiben.
Wenn das Modem nicht nur ein Modem ist, sondern auch eine Firewall bietet, könntest Du die GUI ja auch weiterhin auf igc3 als Fallback erreichbar machen. Für mehr Sicherheit könntest Du auch eine Regel erstellen, die hier nur Zugriff von einer bestimmten IP erlaubt. Im Ernstfall / Failover hängst Du halt einen Rechner an igc3 mit der IP die freigegeben ist.

[pascal585]

Danke für deine Rückmeldung, ich versuche nochmal mein Aufbau/Anliegen etwas klarer zu kommunizieren.

Mein LAN ist 192.168.1.0/24 und unter "Interfaces: Assignments" der Schnittstelle "igc3" zugewiesen. Die OPNsense hat die IP-Adresse 192.168.1.1. Ansonsten befinden sich in diesem LAN keine anderen Geräte.

Das nachträglich konfigurierte LAGG (lagg0) hat die IP 192.168.0.0 mit den Schnittstellen igc1+igc2. Hierin befinden sich alle Clients und Proxmox-Dienste etc.pp. Auch alle vorhandenen VLANs haben lagg0 als parent interface.

Wenn ich nun igc3 neu belege (WAN-LTE), dann gehe ich davon aus, dass die OPNsense nicht mehr erreichbar sein wird, weil das LAN keinem Interface mehr zugewiesen ist. Und hierfür suche ich einen Workaround.

Code Select Expand


      WAN / Internet
             :
             :
             :
      .-----+-----.
      |  Gateway  |  (FritzBox)
      '-----+-----'
              |
      WAN | public IP via PPPoE
              |
      .-----+------.           LAGG, vlan10, vlan20, vlan40, vlan50, vlan99            .------------.
      |  OPNsense  +---------------------------------------------------------------------+| Switch |
      '-----+------'                            192.168.0.1 (lagg0)                    '------------'
              |                                 192.168.10.1 (vlan10)                          |
              |                                 192.168.20.1 (vlan20)                          |
              |                                 192.168.40.1 (vlan40)                          |
              |                                 192.168.50.1 (vlan50)                          |
              |                                 192.168.99.1 (vlan99)                          |
              |                                                                            .------------------------.
              |                                                                            | APs, Clients, Server |
              |                                                                            .------------------------.
       LAN | 192.168.1.1/24



[tiermutter]

Unter System: Settings: Administration stellst Du ja ein, auf welchen Interfaces die GUI und SSH grundsätzlich erreichbar ist.
Dann braucht es nur noch eine entsprechende Regel auf dem Interface, die das auch erlaubt. Beim LAN wird diese durch anti-lockout automatisch gesetzt (wenn nicht deaktiviert), für andere Interfaces erstellst Du die Regel halt selbst. Wenn Du das dann noch auf bestimmte IP oder MAC (über einen Alias) begrenzt (wie schon geschrieben), dann hast Du noch mehr Sicherheit.
Ist halt die Frage, wie sehr Du dem lagg0 vertraust.

Aber igc3 scheint dann ja alles andere als ein Fallback zu sein, bislang ist es ja eher das einzige Interface, über das der Zugriff möglich ist.

Anders gefragt: Wie willst Du den Zugriff zukünftig ermöglichen? Wo befindet sich der/die Rechner die Zugriff haben sollen? Soll / muss der Zugriff auf diese beschränkt sein oder darf der Zugriff aus dem gesamten Subnetz möglich sein?

[pascal585]

Also, GUI und SSH sind momentan über igc3 und lagg0 erreichbar. Insofern ist tatsächlich igc3 ein Fallback, da ich normalerweise über ein Client auf die GUI zugreife, der aus lagg0 kommt.

An sich reicht es mir aus, wenn ich die OPNsense über lagg0 erreichen kann. Muss dann halt aufpassen, dass ich es mir nicht zerschieße.

Inwieweit ich nur über eine einzelne Rechner den Zugriff ermöglichen will, muss ich mir noch überlegen. Derzeit ist der Zugriff noch über Clients aus allen VLANs und dem lagg0-Netz möglich...

Mir stellt sich im Prinzip die Frage, ob es das LAN-Netz bzw. die IP-Adresse (192.168.1.1) der OPNsense in irgendeiner Art und Weise berührt, wenn ich es vom igc3 "loslöse".

[pascal585]

Ich hatte ein völliges Brett vorm Kopf. Wenn ich die OPNsense GUI über lagg0 erreichbar mache, dann kann ich die GUI über 192.168.0.1 und 192.168.1.1 aufrufen. Das war mir irgendwie nicht so richtig klar.

Ich habe nun igc3 mit LAN abgeschaltet und werde die Tage das WAN Failover konfigurieren. Danke für die Hilfe @tiermutter