*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
besterino
Legende
Es gibt so ein paar Dinge, die für mich einfach nur laufen sollen, möglichst wenig und wenn nur idiotensicheres Handanlegen erfordern und mit denen man generell nicht herumspielt. 
Dazu gehören für mich Routing, Firewall und VPN-Zugang. VPN hab ich darum in dedizierter Hardware. Firewall/Routing aktuell erstmal als VM (zum Lernen, vor allem was ich langfristig wirklich will), optional später evtl. auch mal in dedizierter Hardware.
Aus Neugier: welches Killerfeature hat den Opnsense, das die pfsense nicht hat?
Dazu gehören für mich Routing, Firewall und VPN-Zugang. VPN hab ich darum in dedizierter Hardware. Firewall/Routing aktuell erstmal als VM (zum Lernen, vor allem was ich langfristig wirklich will), optional später evtl. auch mal in dedizierter Hardware.Aus Neugier: welches Killerfeature hat den Opnsense, das die pfsense nicht hat?
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 1.110
Nein, aber du ja auch nicht.
Die Sense ist hier Mittel zum Zwecke, die Dienste nach außen einigermaßen sicher und komfortabel freizugeben.
Auf der Sense selbst laufen Wireguard, Adguard, Unbound für lokale DNS-Auflösung, HAProxy als reverse Proxy und natürlich IDS und die Firewall selbst.
Nebenher routet sie zwischen den VLANs den nötigen Verkehr.
Luckysh0t
Enthusiast
Ich denke, man kann das eher in Philosophien einordnen, OPNSense ist schneller und moderner bei Funktionen, und pfsense eher konservativ. Ubuntu vs Debian, quasi ^^ Zumindest ist dass mein Eindruck.
besterino
Legende
Nachdem ich heute fast den ganzen Tag mit dem (nur teilweise erfolgreichen) Versuch verbracht habe, einen pfsense HA-cluster einzurichten, vielleicht habt Ihr ja eine Idee:
Ich versuche, HA zwischen einer Hyper-V VM und einer physischen Kiste einzurichten. Da die physische Kiste nur 2 NICs hat, habe ich als SYNC-Interface ein eigenes VLAN mit der ID 1000 eingerichtet. Entsprechend das VLAN auch auf dem physischen Switch und in der VM hinzugefügt (der hab ich dann auch keine weitere vNIC mehr hinzugefügt). Die VM soll Master/Primary sein (hat mehr Bumms), die physische Kiste Secondary.
Das klappte auch grundsätzlich soweit, dass sich die beiden pfSensen finden und alle Einstellungen vom Primary auf den Secondary gesynced wurden. Grundsätzlich Connectivität ist also gegeben.
Allerdings behaupten BEIDE pfSensen unter "Status --> CARP (failover)", dass sie der MASTER wären. Die Secondary müsste eigentlich BACKUP zeigen... Für die DHCP-Server ganz unten "Status --> DHCP Leases" funktioniert es witzigerweise, da ist einer Primary und der andere Secondary (wie es sein soll). Sobald ich aber über DHCP als Default-GW und DNS nicht mehr die IP (x.x.x.1) der Primary-pfSense sondern der virtuellen IP (x.x.x.254) an Clients verteile, kommen die dann auch leider nicht mehr ins Internet. Komischerweise funktioniert auch kein Ping mehr aus dem eigenen Subnetz raus, was vorher ging.
Ich vermute klassisches "Split-Brain"? Außerdem hab ich bisher die Firewall-Regeln ja anhand nur einer einzigen pfSense gebastelt - muss ich die nun alle anpacken und von "ADDRESS" z.B. auf "x.x.x.254" umbiegen, wo es um Regeln der pfSense selbst geht (Zugriff auf DNS, Web-GUI usw.) damit die auch im Falle eines Failovers weiter funktionieren? Aber wie erkläre ich der pfSense, dass die Dienste dann auch auf der vIP horchen und nicht (nur) auf den "echten" pfSense-IPs?
Wie finde ich heraus, wo es genau klemmt? Kommt so vieles in Betracht, evtl. macht mir ja schon der Hyper-V vSwitch einen Strich durch die Rechnung (irgendwo stand was, man solle v-Switches in den promiscuous mode setzen)? Muss ich auch auf dem physischen Switch irgendwas über das VLAN-tagging beachten (das funzt ja anscheinend, sonst würden die sich schon nicht syncen)?
Ich versuche, HA zwischen einer Hyper-V VM und einer physischen Kiste einzurichten. Da die physische Kiste nur 2 NICs hat, habe ich als SYNC-Interface ein eigenes VLAN mit der ID 1000 eingerichtet. Entsprechend das VLAN auch auf dem physischen Switch und in der VM hinzugefügt (der hab ich dann auch keine weitere vNIC mehr hinzugefügt). Die VM soll Master/Primary sein (hat mehr Bumms), die physische Kiste Secondary.
Das klappte auch grundsätzlich soweit, dass sich die beiden pfSensen finden und alle Einstellungen vom Primary auf den Secondary gesynced wurden. Grundsätzlich Connectivität ist also gegeben.
Allerdings behaupten BEIDE pfSensen unter "Status --> CARP (failover)", dass sie der MASTER wären. Die Secondary müsste eigentlich BACKUP zeigen... Für die DHCP-Server ganz unten "Status --> DHCP Leases" funktioniert es witzigerweise, da ist einer Primary und der andere Secondary (wie es sein soll). Sobald ich aber über DHCP als Default-GW und DNS nicht mehr die IP (x.x.x.1) der Primary-pfSense sondern der virtuellen IP (x.x.x.254) an Clients verteile, kommen die dann auch leider nicht mehr ins Internet. Komischerweise funktioniert auch kein Ping mehr aus dem eigenen Subnetz raus, was vorher ging.
Ich vermute klassisches "Split-Brain"? Außerdem hab ich bisher die Firewall-Regeln ja anhand nur einer einzigen pfSense gebastelt - muss ich die nun alle anpacken und von "ADDRESS" z.B. auf "x.x.x.254" umbiegen, wo es um Regeln der pfSense selbst geht (Zugriff auf DNS, Web-GUI usw.) damit die auch im Falle eines Failovers weiter funktionieren? Aber wie erkläre ich der pfSense, dass die Dienste dann auch auf der vIP horchen und nicht (nur) auf den "echten" pfSense-IPs?
Wie finde ich heraus, wo es genau klemmt? Kommt so vieles in Betracht, evtl. macht mir ja schon der Hyper-V vSwitch einen Strich durch die Rechnung (irgendwo stand was, man solle v-Switches in den promiscuous mode setzen)? Muss ich auch auf dem physischen Switch irgendwas über das VLAN-tagging beachten (das funzt ja anscheinend, sonst würden die sich schon nicht syncen)?
@besterino Wozu HA. Das macht alles nur sehr kompliziert und steht meiner Meinung nach in keinem Verhältnis zum möglichen Gewinn, im Gegenteil. Und wenn Du virtualisierst, solltest Du eh immer ein Backup zurückspielen können. Ich mache um HA einen großen Bogen. Ich hab aber eh eine Fritzbox, die in vorderster Front ihren Dienst tut, zur Not auch alleine. Meinung Ende und letzter Kommentar zum Thema von mir.
Zuletzt bearbeitet:
Ähnliche Themen
