Hat jemand Erfahrung mit OPNSense im HA Betrieb und FailOverIP?

  • Guten Tag.


    Ich bin derzeit dabei redundante Firewalls vor meine Kubernetes Cluster zu schalten. Derzeit läuft nur ein OpenSuse Server der als Gateway, Firewall und Load-Balancer fungiert.

    Bei der Umsetzung der neuen, redundanten Lösung habe ich an OPNSense gedacht. Es scheint viele Möglichkeiten zu bieten und sich für meine Zwecke gut zu eignen.


    [Blocked Image: https://www.bilder-upload.eu/thumb/d8ec5e-1581066481.png]

    Dieses Bild sollte ungefähr veranschaulichen wie das Netzwerk dann im Endeffekt aussehen sollte.

    In der Doku von OPNSense sieht das empfohlene Setup wie folgt aus:

    [Blocked Image: https://docs.opnsense.org/_images/900px-Carp_setup_example.png]

    Leider werden aber vom Netcup VLAN keine Switch Konfigurationsmöglichkeiten geboten. Beim Routing ins WAN sehe ich weniger Probleme als beim Routing ins LAN, da ich somit auch eine Interne FailOverIP oder ähnliche Lösungen mit OPNSense umsetzen.



    Falls jemand Erfahrungen mit einem ähnlichen Setup hat, würde ich mich sehr über Äußerungen freuen. Eventuell Tipps was es zu beachten gilt oder wo es Schwierigkeiten gab, wären ebenso sehr hilfreich.


    Vielen Dank für die Hilfe.


    Lg und einen schönen Tag noch!

    HOSTING42 - Eine "Container as a Service" Plattform - Work in Progress - Tester gesucht

    Mehr auf www.hosting42.at

  • Auch mit einer OPNSense Variante müsstest du schauen, dass die Failover-IP die dir netcup bereitstellt auf einen anderen Server umgeroutet wird, sollte es zu einem Failover kommen. Die Boardmittel von OPNSense reichen da leider nicht aus.

  • Danke für die Rückmeldung.

    Um das Routing der externen FailOverIP mache ich mir weniger Sorgen. Das lässt sich über die API und einem Bash Script lösen. Jedoch habe ich keine Vorstellung davon wie ich das Intern ohne Switch löse. Denn quasi musste ich beide Firewalls als Gateway nutzen. Somit muss ich auch intern eine Art FailOverIP realisieren. Ich weiß nicht ob OPNSense dafür eine Lösung bietet.


    Ich habe es noch nie genutzt und würde gerne Meinungen und Erfahrungen zu dem Thema sammel.

    Danke

    HOSTING42 - Eine "Container as a Service" Plattform - Work in Progress - Tester gesucht

    Mehr auf www.hosting42.at

  • Intern hast du das netcup vLAN zwischen allen deinen Servern. opnsense betreibst du dann als Failover-Cluster. Darauf ergibt sich automatisch, dass du eine VIP als CARP im internen Netz hast, welche zwischen den Firewall wechseln kann. Nach außen hast du immer die public IP anliegen. netcup routet dann für dich auf nur eine der beiden opnsense-Instanzen. Deine Clients sehen als Absender intern immer nur CARP-IP.


    So mal rein theoretisch gesehen :)

  • Hat jemand schon mal versucht unter OPNSense oder pfSense eine FailOverIP von Netcup einzurichten? Wenn ich das richtig verstehe ist konfiguriere ich die Adresse quasi als Virtuelle IP, oder?

    HOSTING42 - Eine "Container as a Service" Plattform - Work in Progress - Tester gesucht

    Mehr auf www.hosting42.at

  • Mission erfüllt: 2 OPNSense Server laufen einwandfrei im HA betrieb. das mit der FailOverIP habe ich auch über die API und einem Shell Script hin bekommen :thumbup:

    danke für die Hilfe

    HOSTING42 - Eine "Container as a Service" Plattform - Work in Progress - Tester gesucht

    Mehr auf www.hosting42.at