Zwei Opnsense Maschinen parallel

[VoSu]

Hallo zusammen,
ich möchte eine alte Hardware auf der Opnsense (V 23.1) läuft, ablösen.
Dazu habe ich eine neue Hardware parallel aufgestellt und Opnsense (V 23.7) installiert.
Da es zwei statische WAN-Adressen gibt, möchte ich die beiden HW eine Zeit lang parallel betreiben.
Alte HW, WAN: xxx.xxx.xxx.6, LAN: 192.168.20.50
Neue HW, WAN: xxx.xxx.xxx.5, LAN: 192.168.20.49
Nach der Installation der neuen Opnsense habe ich eine Portweiterleitung angelegt.
Diese läuft aber immer in ein Tiemout.
Nun bin ich mir nicht sicher, ob so eine Konfiguration überhaupt funktioniert.
Vielleicht kann mir jemand weiterhelfen.

                  WAN                                  WAN
                      :                                        :
                      :                                        :
                      :                                        :
                      |                                        |
     x.x.x.6/28  |                                        |  x.x.x.5/28
                     .------+-------.             .-------+-------.
                     | OPNsense |            | OPNsense  |
                     | alte HW    |             | neue HW   |
                     '-------+------'             '-------+-------'
                               |                                |
     192.168.20.50   |                                |  192.168.20.49
                               |         .---------.          |
                               +------| Switch  |------+
                                         '---------'
                                              |
                                 192.168.20.0/24
                                    ...-----+-----...
                                 (Clients/Servers)

[Maurice]

Du hast so zwei konkurrierende DHCP-Server im LAN. Von welchem die Clients ihre Adresse und insbesondere ihr Default Gateway beziehen ist ohne weitere Maßnahmen quasi zufällig. Akzeptiert ein Client als Gateway "OPNsense alt", dann routet er ausschließlich über dieses - auch Antworten auf Pakete, die ihn über "OPNsense neu" erreicht haben. Das funktioniert nicht. Du musst auf Clients, für die Portweiterleitungen eingerichtet sind, den entsprechenden Router als Gateway konfigurieren.

Grüße
Maurice

[Monviech (Cedrik)]

Theoretisch könntest du auch aus beiden Opnsensen ein HA machen mit CARP Vips. Dann ist es egal welche der beiden Firewalls gerade läuft. CARP unterstützt auch WAN IPs als virtuelle IPs während das Parent Interface auf IPv4 none steht. Das heißt beide WAN IPs wären immer auf eine Firewall gebunden.

Es ist eine etwas kompliziertere Konfiguration. Danach könnten beide Firewalls aber zusammen laufen und es könnte jederzeit die alte abgeschalten werden ohne dass jemand was merkt.

https://docs.opnsense.org/manual/how-tos/carp.html

Zusätzliche Informationen zu WAN IPs. (Wenn man nur 2 hat)
https://forum.opnsense.org/index.php?topic=34955.0