Hat jemand Erfahrung mit OPNSense im HA Betrieb und FailOverIP?

  • Guten Tag.


    Ich bin derzeit dabei redundante Firewalls vor meine Kubernetes Cluster zu schalten. Derzeit läuft nur ein OpenSuse Server der als Gateway, Firewall und Load-Balancer fungiert.

    Bei der Umsetzung der neuen, redundanten Lösung habe ich an OPNSense gedacht. Es scheint viele Möglichkeiten zu bieten und sich für meine Zwecke gut zu eignen.


    [Blockierte Grafik: https://www.bilder-upload.eu/thumb/d8ec5e-1581066481.png]

    Dieses Bild sollte ungefähr veranschaulichen wie das Netzwerk dann im Endeffekt aussehen sollte.

    In der Doku von OPNSense sieht das empfohlene Setup wie folgt aus:

    [Blockierte Grafik: https://docs.opnsense.org/_images/900px-Carp_setup_example.png]

    Leider werden aber vom Netcup VLAN keine Switch Konfigurationsmöglichkeiten geboten. Beim Routing ins WAN sehe ich weniger Probleme als beim Routing ins LAN, da ich somit auch eine Interne FailOverIP oder ähnliche Lösungen mit OPNSense umsetzen.



    Falls jemand Erfahrungen mit einem ähnlichen Setup hat, würde ich mich sehr über Äußerungen freuen. Eventuell Tipps was es zu beachten gilt oder wo es Schwierigkeiten gab, wären ebenso sehr hilfreich.


    Vielen Dank für die Hilfe.


    Lg und einen schönen Tag noch!

    DevOps Engineer (Kubernetes Infrastruktur Manager)

  • Auch mit einer OPNSense Variante müsstest du schauen, dass die Failover-IP die dir netcup bereitstellt auf einen anderen Server umgeroutet wird, sollte es zu einem Failover kommen. Die Boardmittel von OPNSense reichen da leider nicht aus.

  • Danke für die Rückmeldung.

    Um das Routing der externen FailOverIP mache ich mir weniger Sorgen. Das lässt sich über die API und einem Bash Script lösen. Jedoch habe ich keine Vorstellung davon wie ich das Intern ohne Switch löse. Denn quasi musste ich beide Firewalls als Gateway nutzen. Somit muss ich auch intern eine Art FailOverIP realisieren. Ich weiß nicht ob OPNSense dafür eine Lösung bietet.


    Ich habe es noch nie genutzt und würde gerne Meinungen und Erfahrungen zu dem Thema sammel.

    Danke

    DevOps Engineer (Kubernetes Infrastruktur Manager)

  • Intern hast du das netcup vLAN zwischen allen deinen Servern. opnsense betreibst du dann als Failover-Cluster. Darauf ergibt sich automatisch, dass du eine VIP als CARP im internen Netz hast, welche zwischen den Firewall wechseln kann. Nach außen hast du immer die public IP anliegen. netcup routet dann für dich auf nur eine der beiden opnsense-Instanzen. Deine Clients sehen als Absender intern immer nur CARP-IP.


    So mal rein theoretisch gesehen :)

    "Security is like an onion - the more you dig in the more you want to cry"

  • Hat jemand schon mal versucht unter OPNSense oder pfSense eine FailOverIP von Netcup einzurichten? Wenn ich das richtig verstehe ist konfiguriere ich die Adresse quasi als Virtuelle IP, oder?

    DevOps Engineer (Kubernetes Infrastruktur Manager)

  • Mission erfüllt: 2 OPNSense Server laufen einwandfrei im HA betrieb. das mit der FailOverIP habe ich auch über die API und einem Shell Script hin bekommen :thumbup:

    danke für die Hilfe

    DevOps Engineer (Kubernetes Infrastruktur Manager)

  • Hi mamamama,

    Ich weiß nicht was du genau wissen möchtest aber ich geb dir hier einen groben Überblick. Ich beantworte dir gerne weitere Fragen soweit ich kann.


    Meine 2 OPNSense Instanzen laufen derzeit auf 2 RS 500. Die reichen derzeit für meine Zwecke aus. Eine VPS kann ich für einen solchen Einsatz nicht empfehlen, da diese nicht die volle Bandbreite eines VLan Gigabit ausreitzen können.

    Für die direkte Verbindung zwischen den beiden Firewalls, setze ich ein VLan Free mit 100 Mbps ein. Dieses wird nur zum synchronisieren der beiden Instanzen genutzt.


    Das Setup von OPNSense ist ein denkbar einfachers Consolen-Tool welches einen in wenigen Schritten durch den Installationsprozess leitet. Das Wiki von OPNSense ist für die meisten Aufgaben sehr hilfreich: https://docs.opnsense.org/manual/install.html


    Für das Einrichten der High-Availability Features, habe ich mich allerdings an eine andere Anleitung gehalten: https://www.thomas-krenn.com/d…nse_HA_Cluster_einrichten


    Die Dateien für die FailOverIP Scripts kann ich bei bedarf auch gerne zur Verfügung stellen.


    Betreffend meines Kubernetes Clusters kann ich noch nicht viel sagen da ich derzeit die Server noch nicht umkonfiguriert habe.



    Ich hoffe diese Infos waren zunächst hilfreich.


    Grûße

    DevOps Engineer (Kubernetes Infrastruktur Manager)