6
Aufbau Netzstruktur für CARP mit OPNsense
Guten Abend,
wir betreiben auf 2 ProxmoxVE Hosts jeweils eine OPNsense. Diese möchten wir mittels CARP hochverfügbar konfigurieren für die LAN/WAN Schnittstelle.
Folgender Aufbau ist geplant...
Als Coreswitche setzen wir Dell N4032 ein im Fullstacking-Mode ein. Das VLAN-Routing läuft darüber.
Zu meiner Frage...
Gibt es eine Möglichkeit, 2 Switchports zu bündeln mit einer IP-Adresse? Oder gibt es für dieses Szenario eine Alternative, das man den CARP Mode für das LAN Interface realisieren kann?
Vielen Dank
wir betreiben auf 2 ProxmoxVE Hosts jeweils eine OPNsense. Diese möchten wir mittels CARP hochverfügbar konfigurieren für die LAN/WAN Schnittstelle.
Folgender Aufbau ist geplant...
Als Coreswitche setzen wir Dell N4032 ein im Fullstacking-Mode ein. Das VLAN-Routing läuft darüber.
Zu meiner Frage...
Gibt es eine Möglichkeit, 2 Switchports zu bündeln mit einer IP-Adresse? Oder gibt es für dieses Szenario eine Alternative, das man den CARP Mode für das LAN Interface realisieren kann?
Vielen Dank
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1281123773
Url: https://administrator.de/forum/aufbau-netzstruktur-fuer-carp-mit-opnsense-1281123773.html
Ausgedruckt am: 19.04.2025 um 05:04 Uhr
6 Kommentare
Neuester Kommentar
Es ist zwar schon elf Jahre her, dass ich das letzte Mal mit CARP gearbeitet habe (jetzt nutze ich VRRP, aber gleicher Zweck), aber da CARP ein First Hop Redundancy Protocol ist, ist es doch genau die Aufgabe von CARP, unter einer gleichbleibenden IP-Adresse den ersten Hop des Routings anzubieten und im Fehlerfall sowohl die IP-Adresse als auch die dahinterliegende MAC-Adresse an ein weiteres, noch funktionierendes System zu übergeben.
Hallo
Du erstellt ein Interface mit je einer IP pro OPNsense
z.b:
LAN Sense 1 - 10.0.0.251
LAN Sense 2 - 10.0.0.252
Dann erstellt du eine VirtualIP 10.0.0.253 auf der Sense 1 und syncst das ganze. Nun läuft die Sense 1 als Primary und die Sense 2 als Backup und sind gemeinsam über die VirtualIP 10.0.0.253 ereichbar.
Entsprechende Firewallregeln musst du natürlich ebenfalls anlegen.
Achtung:
Bei Vmware Systemen muss man auf dem vSwitch den Promiscuous Mode und MAC Address Changes erlauben !
Wie sich dies bei Proxmox verhält, kann ich dir leider nicht beantworten
Ps.:
Das ganze funktioniert auch, wenn ihr eine CoreSwitch mit L3 Routing einsetzt.
Zu meiner Frage...
Gibt es eine Möglichkeit, 2 Switchports zu bündeln mit einer IP-Adresse? Oder gibt es für dieses Szenario eine Alternative, das man den CARP Mode für das LAN Interface realisieren kann?
Ich verstehe gerade die Frage nicht?!Gibt es eine Möglichkeit, 2 Switchports zu bündeln mit einer IP-Adresse? Oder gibt es für dieses Szenario eine Alternative, das man den CARP Mode für das LAN Interface realisieren kann?
Du erstellt ein Interface mit je einer IP pro OPNsense
z.b:
LAN Sense 1 - 10.0.0.251
LAN Sense 2 - 10.0.0.252
Dann erstellt du eine VirtualIP 10.0.0.253 auf der Sense 1 und syncst das ganze. Nun läuft die Sense 1 als Primary und die Sense 2 als Backup und sind gemeinsam über die VirtualIP 10.0.0.253 ereichbar.
Entsprechende Firewallregeln musst du natürlich ebenfalls anlegen.
Achtung:
Bei Vmware Systemen muss man auf dem vSwitch den Promiscuous Mode und MAC Address Changes erlauben !
Wie sich dies bei Proxmox verhält, kann ich dir leider nicht beantworten
Ps.:
Das ganze funktioniert auch, wenn ihr eine CoreSwitch mit L3 Routing einsetzt.
Erstmal vielen Dank für eure Antworten....
Gibt es eine Möglichkeit, 2 Switchports zu bündeln mit einer IP-Adresse? Oder gibt es für dieses Szenario eine Alternative, das man den CARP Mode für das LAN Interface realisieren kann?
Ich verstehe gerade die Frage nicht?!
Mir geht es primär um die Konfiguration des gestackten Core-Switches. Da ich 2 Switch-Interfaces brauch (Te 1/0/3-Te2/0/3) mit einer IP Adresse, damit ich diese als Next-Hop in der OPNsense eintragen kann um in meine VLANs routen zu können...
Gibt es da eine Möglichkeit auf dem Switch mit einer virtuellen IP zu arbeiten oder L3 Channel-Group o.ä?
Gibt es eine Möglichkeit, 2 Switchports zu bündeln mit einer IP-Adresse? Oder gibt es für dieses Szenario eine Alternative, das man den CARP Mode für das LAN Interface realisieren kann?
Mir geht es primär um die Konfiguration des gestackten Core-Switches. Da ich 2 Switch-Interfaces brauch (Te 1/0/3-Te2/0/3) mit einer IP Adresse, damit ich diese als Next-Hop in der OPNsense eintragen kann um in meine VLANs routen zu können...
Gibt es da eine Möglichkeit auf dem Switch mit einer virtuellen IP zu arbeiten oder L3 Channel-Group o.ä?
Viele Layer3-Switches beherrschen ebenfalls FHRP, meist ist es VRRP.
Aber normal würde man es an dieser Stelle mit einem Routingprotokoll machen. Also Firewall und Switches lernen per RIP, OSPF oder so voneinander.
Aber normal würde man es an dieser Stelle mit einem Routingprotokoll machen. Also Firewall und Switches lernen per RIP, OSPF oder so voneinander.
Gibt es eine Möglichkeit, 2 Switchports zu bündeln mit einer IP-Adresse?
Ja, das geht natürlich !Gehen wir mal davon aus das du einen Layer 3 Switch meinst denn IP Routing Funktionen auf Layer 2 geht bekanntlich natürlich nicht.
Das Feature heisst VRRP wie oben schon richtig bemerkt.
https://de.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol
Wie man es z.B. an einem Mikrotik Switch umsetzt kannst du hier sehen:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Bei Cisco Switches z.B. HIER.
Für deine Dell Gurken beschreibt es das Handbuch in Kapitel: 38, Seite 1371 ff.
Ein Blick da hinein hätte den Thread hier überflüssig gemacht !
Wenn die Cores aber so oder so im Fullstack Mode arbeiten ist ein VRRP Design dann doch völlig überflüssig, denn die 2 Switches nutzen dann eh eine gemeinsame L3 Funktion Stack Member übergreifend. Sprich in einem Full Stack haben 2 Ports auf 2 Memberswitches im Backend immer eine gemeinsame L3 Engine. Das sollte auch bei Billigheimer Dell so sein ?! Es sei denn...
Das was du vermeintlich dann als "Full Stack" bezeichnest ist nur ein simples LACP Clustering der Units und kein Full Stack ?! Das o.a. Manaual redet aber von Stack ohne diese Einschränkungen.
Irgendetwas hast du hier also falsch verstanden vom Design oder der L3 Funktion an sich ?? An sich gesehen ist dein Konzept aber richtig und sinnvoll in einem HA Umfeld.
Wenn die Cores aber so oder so im Fullstack Mode arbeiten ist ein VRRP Design dann doch völlig überflüssig, denn die 2 Switches nutzen dann eh eine gemeinsame L3 Funktion Stack Member übergreifend. Sprich in einem Full Stack haben 2 Ports auf 2 Memberswitches im Backend immer eine gemeinsame L3 Engine. Das sollte auch bei Billigheimer Dell so sein ?! Es sei denn...
Und genau das war mein Denkfehler.... Bin von unterschiedlichen MAC´s ausgegangen....
Hab mir auch nochmal auf den Switch alle Ports ausgeben lassen und siehe alle Ports nutzen die selbe L3 MAC Address
Vielen Dank!
