gansa28
Goto Top

OPNSense HA WAN Verständnis

Hallo zusammen,

ich habe von meinem Provider eine /31 für meine WAN Seite also feste IPs bekommen. 1 IP Adresse Firewall (Beispiel 10.4.63.20 ) und 1 IP Adresse fürs GW des Providers (Beispiel 10.4.63.21) sowie 2 DNS Adressen (XXX.XXX.XXX.XXX). Für eine HA Konfiguration benötige ich ja jetzt laut meinem Verständnis und beigefügtem Bild min 3 IP Adressen für die Firewall auf den WAN Seite?

opnsense-ha-cluster

Vielen Dank für schonmal.

Content-ID: 84096570206

Url: https://administrator.de/contentid/84096570206

Printed on: December 9, 2024 at 22:12 o'clock

aqui
aqui Oct 17, 2023 updated at 08:58:38 (UTC)
Goto Top
Just for Info:
Eine feste IP hat immer eine /32 als Maske (Hostmaske)! /31 kann es nicht geben, da es dann dort nur die Netzadresse und die Broadcastadresse geben würde aber keinerlei nutzbare IP Hostadressen.
Ein minimales Subnetz mit 2 nutzbaren IP Adressen wäre ein /30er Netz.
min 3 IP Adressen für die Firewall auf den WAN Seite?
Das ist richtig! Firewall 1 WAN, Firewall 2 WAN und die Gateway IP des Providers.
Mit anderen Worten minimal ein /29er Netz
gansa28
gansa28 Oct 17, 2023 at 09:06:45 (UTC)
Goto Top
Hi aqui,

Vielen dank für deinen Beitrag.

also die vom Provider Bereitgestellte Netzmaske ist 255.255.255.254 also /31? sowie XXX.XXX.XXX.136 als IP Adresse für die FW, und ein GW XXX.XXX.XXX.135 mehr nicht.

Grüße
aqui
aqui Oct 17, 2023, updated at Oct 20, 2023 at 11:24:10 (UTC)
Goto Top
Fraglich ob die Maske funktioniert, denn damit gibt es m.E. keine produktiv nutzbaren Host IP Adressen. Z.B. 10.0.0.136 /31 würde nur aus der produktiv nicht nutzbaren Netzwerkadresse selber .136 und der Broadcast Adresse .137 bestehen und keine nutzbaren IP Hostadressen enthalten.
Die .135 kann in dem Verbund schon einmal gar nicht stimmen, denn die wäre in einem ganz anderen, getrennten IP Netz bei einer /31er Maske, nämlich dem 10.0.0.134 /31er Netz.
Das klingt irgendwie nach völligem (Masken) Murks bei deiner IP Adressierung?! face-sad
Dani
Dani Oct 17, 2023 at 12:57:51 (UTC)
Goto Top
@aqui
Das ist richtig! Firewall 1 WAN, Firewall 2 WAN und die Gateway IP des Providers.
Das wäre natürlich am Besten. Aber es geht natürlich auch nur mit einer festen IP-Adresse, welche als VIP konfiguriert ist. Oder ist das OPNsense eine Ausnahme?


Gruß,
Dani
aqui
aqui Oct 17, 2023 updated at 15:39:58 (UTC)
Goto Top
Die HA Interfaces sharen dafür aber immer ein gemeinsames IP Netz. Ist ja identisch zu VRRP (im Extended Mode) oder HSRP. Du hast also einmal die Geräte IPs und darüber wird dann die VIP gebildet.
Das würde dann immer minimal 3 IPs bedeuten.
Einfaches VRRP aber lässt die Master IP auch mitwandern so das man hier mit minimal 2 IPs auskommt, supportet dann aber nur Active/Passive mit Master und Slave und kein Active/Active.
Das 3er IP Handling ist beim verwendeten CARP in HA Setups der ..Sensen identisch.
https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten
gansa28
gansa28 Oct 18, 2023 at 07:35:06 (UTC)
Goto Top
Hi,

also habe ich jetzt richtig Verstanden:

  • egal wie ich brauche 3 öffentliche IP Adressen von meinem Provider für ein HA active/active oder active/standby Szenario. Was ich erreichen will ist nur falls eine der OPNSense Ausfällt die andere ohne viel Einwirken die Arbeit Übernehmen kann.
  • Die vom Provider gelieferte /31 mit wirklich nur 2 IP´s . Unsere öffentliche IP (82.xxx.xxx.xxx) als Broadcast Adresse und die Netzadresse als GW des Providers. Die oben als Beispiel genutzten 10er IP Adressen waren blöd von mir als Beispiel.

Grüße und vielen dank.
aqui
Solution aqui Oct 18, 2023, updated at Oct 20, 2023 at 11:25:08 (UTC)
Goto Top
Jepp, das hast du richtig verstanden.
Punkt 1 gilt aber nur wenn du das xSense HA Szenario in einem öffentlichen Subnetz am WAN Port betreiben willst mit Zugang auf einen singulären Provider.

Es gäbe ja noch die Option das das HA Design eben auf 2 unterschiedliche Provider zugreift mit einem Active/Avtive Design. Das hätte den Vorteil das du auch gegen einen Providerausfall gewappnet bist bei doppelter WAN Performance.
Dieses Design braucht dann prinzipbedingt natürlich nur eine einzige öffentliche IP bzw. 2 wenn man die Provider Gateway IP mit einbezieht.

Bei Ersterem brauchst du immer ein /29er Subnetz da das Active/Active HA CARP Design ja immer 3 IPs braucht auf WAN und LAN Seite.
Ein /31er Subnetz gibt es m.E. im realen Betrieb gar nicht, denn es liefert keinerlei nutzbare IP Hostadressen.
Die oben als Beispiel genutzten 10er IP Adressen waren blöd von mir als Beispiel.
Warum? 🤔
Das Prinzip ist doch immer das gleiche! Es ist im Zeitalter von CIDR Adressen bei der Maskierung doch völlig Wumpe ob du 10er, 100er, 212er oder was auch immer Adressen du als Beispiel nimmst. face-wink
LordGurke
LordGurke Oct 19, 2023 at 22:09:45 (UTC)
Goto Top
Zitat von @aqui:

Die Maske ist unsinnig, denn damit gibt es keine produktiv nutzbaren Host IP Adressen. Z.B. 10.0.0.136 /31 würde nur aus der produktiv nicht nutzbaren Netzwerkadresse selber .136 und der Broadcast Adresse .137 bestehen und keine nutzbaren IP Hostadressen enthalten.

Uh, nee, da hast du einen Denkfehler.
Bei /31 hast du *keine* Broadcast-Adresse und auch keine Netzadresse. Du hast in dem Netz genau zwei Hosts.
Das ist die typische Präfixlänge für Transfernetze, um eben keine Adressen für unbenutzbaren Kram zu verschwenden.
aqui
aqui Oct 20, 2023 at 09:11:11 (UTC)
Goto Top
Da hast du natürlich Recht aber zumindestens die Broadcast Adresse ist m.W. immer produktiv unbrauchbar. Bei Cisco kann man mit "ip subnet zero" zwar erzwingen die Netzwerk Adresse produktiv zu nutzen aber nicht die Broadcast Adresse. Damit sind /31 Masken m.E. eigentlich nicht nutzbar.
M.W. ist /30 die typische Präfixlänge für Transfernetze mit nur 2 nutzbaren IPs.
LordGurke
LordGurke Oct 20, 2023 updated at 10:48:29 (UTC)
Goto Top
Ein /31 hat per Standard keine Broadcast-Adresse. Das ist also kein Problem und habe ich auch mit Cisco so produktiv in Betrieb.
Siehe RFC 3021 von Dezember 2000, Absatz 2.1:
In a point-to-point link with a 31-bit subnet mask, the two addresses above MUST be interpreted as host addresses.
aqui
aqui Oct 20, 2023 at 10:50:48 (UTC)
Goto Top
Mmmhhh...interessant. Teste ich gleich mal aus... 😉 Hatte bis dato immer nur /30er verwendet.
Weisst du ob generell ALLE Endgeräte mit sowas umgehen können?
LordGurke
LordGurke Oct 20, 2023 at 11:08:52 (UTC)
Goto Top
Der Standard ist von 2000 — und mit Ausnahme irgendwelcher billiger Geräte, die nur starre Netzmasken wie /24 unterstützen, funktionierte das bisher überall.
Allerdings habe ich auch fast nur mit Cisco, Brocade/EN, Juniper zu tun face-wink
aqui
aqui Oct 20, 2023 updated at 12:16:02 (UTC)
Goto Top
Ist hier mit den o.a. Produkten auch so aber war mir nicht bewusst das es gefahrlos nutzbar ist. Das ip subnet zero gibt es auch in aktuellen IOS oder IOS-XE gar nicht mehr. Brocade/Commscope kennt es gar nicht so das man da wohl RFC3021 Konformität vorausstzen kann.
RFC3021 hat das manifestiert: https://packetlife.net/blog/2008/jun/18/using-31-bit-subnets-on-point-po ...
Danke für den Hinweis! Ab sofort dann nur noch /31er für P2P Transfernetze...wieder was gelernt! 😉