HA Setup - Kein Internetzugriff vom Backup OPNsense

Started by bonnma, November 05, 2025, 11:45:19 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 05, 2025, 11:45:19 AM

Hallo zusammen,

dies ist mein erster Post. Bisher habe ich mir alles selber erarbeitet. Jetzt komme ich aber nicht mehr weiter und hoffe auf Eure kompetente Unterstützung.

Ich betreibe einen HA-Cluster aus zwei OPNsense. Eigentlich funktioniert das super. Ich bekomme auf dem Backup aber leider keine Verbindung ins Internet u.a. für Updates.

Ich skizziere mal kurz meine derzeitige Lage

Eine eigene öffentliche IPv4          78.xxx.xxx.xxx/30      ist die einzige frei verfügbare IP-Adresse daher arbeite ich mit

              VIP-WAN       192.168.1.1/30   und   192.168.1.2/30

Auf der LAN-seite habe ich die 172.16.0.1/16 als VIP und die xx.2/16 und xx.3/16 als feste IP für die OPNsense

Es kann sein das auch hier etwas falsch konfiguriert ist, also Feuer frei mit Alternativen/Vorschlägen.

Allerdings denke ich es liegt am Outbound NAT. Hier habe ich bereits mehrere Regeln aus dem Internet versucht, aber bei keiner funktioniert es wie gewünscht. Derzeit ist ein grundsätzlicher Betrieb mit

You cannot view this attachment.

möglich. Aber nur über den Master!

Ich muss auf dem Master den Wartungsmodus von CARP bei VIP einschalten, dann kommt mein Backup auch ins Internet. Das ist unschön und vom Erfinder sicher so nicht gewünscht.

Vielen Dank vorab für Eure Hilfe!

Weitere Informationen stelle ich gerne zur Verfügung wenn dadurch die Lösung einfacher wird.

Viele Grüße
Markus
November 05, 2025, 12:13:09 PM #1
In der "reinen Lehre" brauchst du zwingend mindestens ein externes /29 für ein HA-Setup und jede Firewall ihre eigene Adresse plus eine gemeinsame für CARP. Ich habe das auch nirgends anders und kann dir daher mit "Hacks" wie man das trotzdem hin bastelt, leider nicht helfen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
November 05, 2025, 12:42:11 PM #2
Quote from: bonnma on November 05, 2025, 11:45:19 AMDerzeit ist ein grundsätzlicher Betrieb mit möglich. Aber nur über den Master!
Naja, nachdem der Master die einzige öffentliche IP belegt hat, kann sie von keiner anderen Maschine genutzt werden.

D.h., die einzige Möglichkeit für den Backup-Node ins Internet zu kommen, wäre der Weg über den Master.
Das kannst du einrichten, indem die die Master LAN-IP als Upstream-Gateway einrichtest. Also eine Gateway-Group konfigurierst, in der das eigentliche Internet-Gateway Tier 1 und der Master Tier 2 ist.
Ist das Internet-Gateway nicht erreichbar, wird der Master genutzt.

In gleicher Weise kannst du den Master konfigurieren, damit er die zweite OPNsense als Gateway nutzt, falls er die Backup-Rolle hat.
November 05, 2025, 01:21:00 PM #3
Das einfachste wäre noch ein Router vor der HA OPNsense welche die öffentliche IP terminiert und NAT macht.

Ist aber "yet another single point of failure" YASPOF. xD
Hardware:
DEC740
November 06, 2025, 08:40:29 AM #4

Vielen Dank allen Antwortenden.

Ich werde mir alle Optionen durch den Kopf gehen lassen und berichten!
Print
Go Up Pages1
User actions