hoch verfügbarkeit einstellen stehe gerade auf dem schlauch

[loaded]

moin,

ich habe auf meinem proxmoxserver 2 opnsense zusammen als hoch verfügbarkeit laufen alles schön.
vor dem server ist ein unify edge-router und davor die fritzbox im bridge-mode.
meine öffentliche ip liegt auf dem edge-router soll aber zur firewall.

meine idee ist die firewall raus aus dem proxmox als hardware-lösung direkt an die fritzbox/bridge-mode und dann liegt die öffentliche ip an meiner firewall.
nun möchte ich aber 2 firewall wieder haben damit eine mal ausfallen kann aber alles läuft weiter.
die fritzbox hat 2 ports für bridge-mode 3 + 4 kann ich jeweils eine firewall an die ports hängen und beide haben die selbe öffentliche ip oder wie geht das ?

möchte gerne das doppelte NAT weg haben deshalb möchte ich keinen switch davor machen der baut ja wieder einen eigenen ip-bereich auf.
wenn ich nur eine firewall mache ist das kein problem aber ich spiele gerne an den diensten rum und bin dann froh wenn ich ein backup habe und eine erstatz firewall.

[Patrick M. Hausen]

Du brauchst auf jedem Interface eines HA-Paares je eine IP-Adresse für jede der beiden Firewalls und eine CARP-Adresse, die zwischen den beiden hin und her wechseln kann, für die HA.

[loaded]

ja das ist klar auf meinem proxmox server laufen die ja als HA nur da macht zuerst der edge-router ein dhcp und darin bewegen sich die firewalls. firewall 1 192.168.2.5 und die andere 192.168.2.6 und das ganze als carp Ip das ist klar nur will ich das ganze jetzt direkt an der fritzbox machen und am bridge-mode-port ist die IP die ich von vodafon direkt bekommen habe.
also z.b. 32.168.154.241 und wenn ich eine firewall daran direkt hänge trägt die firewall diese ip und woran hänge ich die zweite ?
muss ja an die selbe ip ran sonst habe ich keinen ausfallschutz.

[Patrick M. Hausen]

Das geht nicht. Du brauchst 3 IP-Adressen für HA.

Du kannst das nur im RFC-1918-Netz hinter der Fritzbox machen mit "Exposed Host".

[viragomann]

Die Rede ist hier von statischen öffentlichen IPs.
Zur Not tut es auch eine. Aber mit dynamischen IPs wäre es schwierig.

[loaded]

 so ist das bei mir und läuft seid jahren nur wie geht das mit dem bridge-mode ich kann ja schlecht von vodafone 2 ip bekommen oder ?
die habe ich gerade von vodafone
IPv4-Adresse: 84.119.95.245 und hier sollen 2 firewalls ran.


   System: High Availability: Settings
opnsens slave 10.6.4.12
opnsens master 10.6.4.10

opnsens slave  192.168.2.126
opnsens master  192.168.2.127

    Interfaces: Virtual IPs: Settings
10.6.4.1/24   1 (freq. 1/0)   Vlan40   CARP   CARP Vlan40 Interface

192.168.2.30/24   1 (freq. 1/0)   WAN   CARP   WAN

[Patrick M. Hausen]

Es geht fundamental nicht mit Bridge Mode bei Vodafone. Begreif das doch bitte.

Wenn du so eine geschäftskritische Anwendung hast, dass du eine HA-Firewall brauchst, besorg dir einen dazu passenden Geschäfts-Internetanschluss.

[loaded]

dann sag es so das ich deine worte auch verstehe
gehe davon aus du meinst deine aussage hier.

Du kannst das nur im RFC-1918-Netz hinter der Fritzbox machen mit "Exposed Host".


das ist für mich latein :-)

wollte das so haben nur mit der vodafone ip
https://b3n.org/pfsense-firewall-ha-failover-cluster/

[Patrick M. Hausen]

Du hängst beide OPNsensen so wie bisher hinter deinem Edge-Router an die "normalen" (nicht Bridge) Ports deiner Fritzbox mit privaten (RFC 1918 definiert, was private Adressen sind) IP-Adressen und HA, und benutzt dann die Funktion der Fritzbox von der ich gerade nicht auswendig weiß, wie sie heißt, alle Anfragen von außen an Host X intern weiterzuleiten, also z.B. 192.168.178.X - wobei X dann die CARP-Adresse deiner OPNsense-VMs ist.

dann sag es so das ich deine worte auch verstehe

Du willst HA machen, ich gehe also davon aus, dass du Netzwerk-Grundlagen beherrschst.

wollte das so haben nur mit der vodafone ip
https://b3n.org/pfsense-firewall-ha-failover-cluster/

Das braucht zwingend 3 IP-Adressen, das geht nicht mit so einem Vodafone-Anschluss.

[loaded]

dann mache ich nur noch eine firewall und habe das was ich möchte mir ging es nur darum wenn ich mal an der firewall bastel und die kille ich noch ein backup habe und alles weiter läuft.

[viragomann]

dann mache ich nur noch eine firewall und habe das was ich möchte mir ging es nur darum wenn ich mal an der firewall bastel und die kille ich noch ein backup habe und alles weiter läuft.

Ein Snapshot ist mit Proxmox auch schnell wiederhergestellt.

[loaded]

ja die sollen aber von proxmox runter.
und als eigene kleine systeme laufen.

möchte meinen server neu aufsetzen. da ist proxmox verschlüsselt und wenn der server mal neustartet muss das passwort eingegeben werden und solange geht bei mir zuhause das wlan nicht und meine schwiegermutter ist am schreien.

und deshalb will ich die firewalls aus proxmox raus haben dann kannn ich den server neu machen ohne das mir einer in den ohren liegt.

[viragomann]

Cloud Backup von OPNsense könnte auch helfen. Google und Nextcloud werden unterstützt.
https://docs.opnsense.org/manual/how-tos/cloud_backup.html

[loaded]

nextcloud habe ich auf meinem server und google drive kann ich noch dazu nehmen, so bekomme ich dann meine backups gemacht wenn ich da mal was kaputt mache.

[Patrick M. Hausen]

OPNsense mit ZFS installieren, Snapshots/Boot-Environments nutzen. :)