Zwei Opnsense Maschinen parallel

Started by VoSu, September 06, 2023, 05:17:06 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 06, 2023, 05:17:06 PM
Hallo zusammen,
ich möchte eine alte Hardware auf der Opnsense (V 23.1) läuft, ablösen.
Dazu habe ich eine neue Hardware parallel aufgestellt und Opnsense (V 23.7) installiert.
Da es zwei statische WAN-Adressen gibt, möchte ich die beiden HW eine Zeit lang parallel betreiben.
Alte HW, WAN: xxx.xxx.xxx.6, LAN: 192.168.20.50
Neue HW, WAN: xxx.xxx.xxx.5, LAN: 192.168.20.49
Nach der Installation der neuen Opnsense habe ich eine Portweiterleitung angelegt.
Diese läuft aber immer in ein Tiemout.
Nun bin ich mir nicht sicher, ob so eine Konfiguration überhaupt funktioniert.
Vielleicht kann mir jemand weiterhelfen.

                  WAN                                  WAN
                      :                                        :
                      :                                        :
                      :                                        :
                      |                                        |
     x.x.x.6/28  |                                        |  x.x.x.5/28
                     .------+-------.             .-------+-------.
                     | OPNsense |            | OPNsense  |
                     | alte HW    |             | neue HW   |
                     '-------+------'             '-------+-------'
                               |                                |
     192.168.20.50   |                                |  192.168.20.49
                               |         .---------.          |
                               +------| Switch  |------+
                                         '---------'
                                              |
                                 192.168.20.0/24
                                    ...-----+-----...
                                 (Clients/Servers)
September 06, 2023, 05:37:43 PM #1
Du hast so zwei konkurrierende DHCP-Server im LAN. Von welchem die Clients ihre Adresse und insbesondere ihr Default Gateway beziehen ist ohne weitere Maßnahmen quasi zufällig. Akzeptiert ein Client als Gateway "OPNsense alt", dann routet er ausschließlich über dieses - auch Antworten auf Pakete, die ihn über "OPNsense neu" erreicht haben. Das funktioniert nicht. Du musst auf Clients, für die Portweiterleitungen eingerichtet sind, den entsprechenden Router als Gateway konfigurieren.

Grüße
Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
September 06, 2023, 07:19:28 PM #2 Last Edit: September 06, 2023, 07:22:40 PM by Monviech
Theoretisch könntest du auch aus beiden Opnsensen ein HA machen mit CARP Vips. Dann ist es egal welche der beiden Firewalls gerade läuft. CARP unterstützt auch WAN IPs als virtuelle IPs während das Parent Interface auf IPv4 none steht. Das heißt beide WAN IPs wären immer auf eine Firewall gebunden.

Es ist eine etwas kompliziertere Konfiguration. Danach könnten beide Firewalls aber zusammen laufen und es könnte jederzeit die alte abgeschalten werden ohne dass jemand was merkt.

https://docs.opnsense.org/manual/how-tos/carp.html

Zusätzliche Informationen zu WAN IPs. (Wenn man nur 2 hat)
https://forum.opnsense.org/index.php?topic=34955.0
Hardware:
DEC740
Print
Go Up Pages1
User actions