[SOLVED] opnsense mit CARP und IPSec (connections)

[grefabu]

Moin,

ich teste (virtuell) gerade ein Setup mit insgesamt 4 opnsense FWs , jeweils zwei pro virtueller Umgebung.
Ziel ist ein HA Setup mit entsprechenden CARP VirtIPs und einem IPSec Tunnel.

Der Grundaufbau ist kein Problem, die Definition der einzelnen Netze und das einrichten der VirtIPs nebst HA funktioniert tadelos.

Der Grundlegende Aufbau der IPSec Verbindung funktioniert ebenfalls.

Was nicht funktioniert ist der automatische Wiederaufbau der IPSec Verbindung im HA Fall.

Getestet habe ich das manuelle Herunterfahren oder auch eine Neustart der jeweiligen HA Master FW.

Die Übernahme der VirtIP klappt, der Tunnel wird nicht automatisch wieder übernommen, erst manuell kann ich ihn wieder starten.

Ich habe jetzt schon verschiedene Einstellungen versucht, bin aber noch zu keinem zufriedenstellenden Ergebnis gekommen.

Hat jemand ein entsprechendes Setup am laufen und es funktioniert?

Grüße

Gregor

[grefabu]

Hmm, momentan funktioniert es, ich habe noch mal alle Instanzen gesynct.

Evtl. war eine Einstellung noch nicht auf den HA Backup übertragen,...

[JeGr]

Evtl. war eine Einstellung noch nicht auf den HA Backup übertragen,...

Wichtig da gern überlesen/ignoriert/nicht gewusst: OPNsense hat bereits seit einiger Zeit KEINEN automatischen Sync mehr zwischen den beiden Cluster-Nodes. Diesen muss man entweder explizit über einen Scheduler/Cron-Job einrichten oder man muss daran denken, manuell zu synchronisieren. Der alte Mechanismus, dass jede Änderung automatisch gesynct wird (wie nach dem Fork von pfSense) gibt es nicht mehr!

Das ist wichtig, da stolpern leider viele drüber, die sich da nicht up2date gehalten haben, was dann darin endet, dass dort dann ein völlig veralteter Standby Node mitläuft, der überhaupt nicht korrekt "übernehmen" kann, wenn es brennt.

Cheers!