OPNSense HA WAN Verständnis
Hallo zusammen,
ich habe von meinem Provider eine /31 für meine WAN Seite also feste IPs bekommen. 1 IP Adresse Firewall (Beispiel 10.4.63.20 ) und 1 IP Adresse fürs GW des Providers (Beispiel 10.4.63.21) sowie 2 DNS Adressen (XXX.XXX.XXX.XXX). Für eine HA Konfiguration benötige ich ja jetzt laut meinem Verständnis und beigefügtem Bild min 3 IP Adressen für die Firewall auf den WAN Seite?
Vielen Dank für schonmal.
ich habe von meinem Provider eine /31 für meine WAN Seite also feste IPs bekommen. 1 IP Adresse Firewall (Beispiel 10.4.63.20 ) und 1 IP Adresse fürs GW des Providers (Beispiel 10.4.63.21) sowie 2 DNS Adressen (XXX.XXX.XXX.XXX). Für eine HA Konfiguration benötige ich ja jetzt laut meinem Verständnis und beigefügtem Bild min 3 IP Adressen für die Firewall auf den WAN Seite?
Vielen Dank für schonmal.
Please also mark the comments that contributed to the solution of the article
Content-ID: 84096570206
Url: https://administrator.de/contentid/84096570206
Printed on: December 9, 2024 at 22:12 o'clock
13 Comments
Latest comment
Just for Info:
Eine feste IP hat immer eine /32 als Maske (Hostmaske)! /31 kann es nicht geben, da es dann dort nur die Netzadresse und die Broadcastadresse geben würde aber keinerlei nutzbare IP Hostadressen.
Ein minimales Subnetz mit 2 nutzbaren IP Adressen wäre ein /30er Netz.
Mit anderen Worten minimal ein /29er Netz
Eine feste IP hat immer eine /32 als Maske (Hostmaske)! /31 kann es nicht geben, da es dann dort nur die Netzadresse und die Broadcastadresse geben würde aber keinerlei nutzbare IP Hostadressen.
Ein minimales Subnetz mit 2 nutzbaren IP Adressen wäre ein /30er Netz.
min 3 IP Adressen für die Firewall auf den WAN Seite?
Das ist richtig! Firewall 1 WAN, Firewall 2 WAN und die Gateway IP des Providers.Mit anderen Worten minimal ein /29er Netz
Fraglich ob die Maske funktioniert, denn damit gibt es m.E. keine produktiv nutzbaren Host IP Adressen. Z.B. 10.0.0.136 /31 würde nur aus der produktiv nicht nutzbaren Netzwerkadresse selber .136 und der Broadcast Adresse .137 bestehen und keine nutzbaren IP Hostadressen enthalten.
Die .135 kann in dem Verbund schon einmal gar nicht stimmen, denn die wäre in einem ganz anderen, getrennten IP Netz bei einer /31er Maske, nämlich dem 10.0.0.134 /31er Netz.
Das klingt irgendwie nach völligem (Masken) Murks bei deiner IP Adressierung?!
Die .135 kann in dem Verbund schon einmal gar nicht stimmen, denn die wäre in einem ganz anderen, getrennten IP Netz bei einer /31er Maske, nämlich dem 10.0.0.134 /31er Netz.
Das klingt irgendwie nach völligem (Masken) Murks bei deiner IP Adressierung?!
@aqui
Gruß,
Dani
Das ist richtig! Firewall 1 WAN, Firewall 2 WAN und die Gateway IP des Providers.
Das wäre natürlich am Besten. Aber es geht natürlich auch nur mit einer festen IP-Adresse, welche als VIP konfiguriert ist. Oder ist das OPNsense eine Ausnahme?Gruß,
Dani
Die HA Interfaces sharen dafür aber immer ein gemeinsames IP Netz. Ist ja identisch zu VRRP (im Extended Mode) oder HSRP. Du hast also einmal die Geräte IPs und darüber wird dann die VIP gebildet.
Das würde dann immer minimal 3 IPs bedeuten.
Einfaches VRRP aber lässt die Master IP auch mitwandern so das man hier mit minimal 2 IPs auskommt, supportet dann aber nur Active/Passive mit Master und Slave und kein Active/Active.
Das 3er IP Handling ist beim verwendeten CARP in HA Setups der ..Sensen identisch.
https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten
Das würde dann immer minimal 3 IPs bedeuten.
Einfaches VRRP aber lässt die Master IP auch mitwandern so das man hier mit minimal 2 IPs auskommt, supportet dann aber nur Active/Passive mit Master und Slave und kein Active/Active.
Das 3er IP Handling ist beim verwendeten CARP in HA Setups der ..Sensen identisch.
https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten
Jepp, das hast du richtig verstanden.
Punkt 1 gilt aber nur wenn du das xSense HA Szenario in einem öffentlichen Subnetz am WAN Port betreiben willst mit Zugang auf einen singulären Provider.
Es gäbe ja noch die Option das das HA Design eben auf 2 unterschiedliche Provider zugreift mit einem Active/Avtive Design. Das hätte den Vorteil das du auch gegen einen Providerausfall gewappnet bist bei doppelter WAN Performance.
Dieses Design braucht dann prinzipbedingt natürlich nur eine einzige öffentliche IP bzw. 2 wenn man die Provider Gateway IP mit einbezieht.
Bei Ersterem brauchst du immer ein /29er Subnetz da das Active/Active HA CARP Design ja immer 3 IPs braucht auf WAN und LAN Seite.
Ein /31er Subnetz gibt es m.E. im realen Betrieb gar nicht, denn es liefert keinerlei nutzbare IP Hostadressen.
Das Prinzip ist doch immer das gleiche! Es ist im Zeitalter von CIDR Adressen bei der Maskierung doch völlig Wumpe ob du 10er, 100er, 212er oder was auch immer Adressen du als Beispiel nimmst.
Punkt 1 gilt aber nur wenn du das xSense HA Szenario in einem öffentlichen Subnetz am WAN Port betreiben willst mit Zugang auf einen singulären Provider.
Es gäbe ja noch die Option das das HA Design eben auf 2 unterschiedliche Provider zugreift mit einem Active/Avtive Design. Das hätte den Vorteil das du auch gegen einen Providerausfall gewappnet bist bei doppelter WAN Performance.
Dieses Design braucht dann prinzipbedingt natürlich nur eine einzige öffentliche IP bzw. 2 wenn man die Provider Gateway IP mit einbezieht.
Bei Ersterem brauchst du immer ein /29er Subnetz da das Active/Active HA CARP Design ja immer 3 IPs braucht auf WAN und LAN Seite.
Ein /31er Subnetz gibt es m.E. im realen Betrieb gar nicht, denn es liefert keinerlei nutzbare IP Hostadressen.
Die oben als Beispiel genutzten 10er IP Adressen waren blöd von mir als Beispiel.
Warum? 🤔Das Prinzip ist doch immer das gleiche! Es ist im Zeitalter von CIDR Adressen bei der Maskierung doch völlig Wumpe ob du 10er, 100er, 212er oder was auch immer Adressen du als Beispiel nimmst.
Zitat von @aqui:
Die Maske ist unsinnig, denn damit gibt es keine produktiv nutzbaren Host IP Adressen. Z.B. 10.0.0.136 /31 würde nur aus der produktiv nicht nutzbaren Netzwerkadresse selber .136 und der Broadcast Adresse .137 bestehen und keine nutzbaren IP Hostadressen enthalten.
Die Maske ist unsinnig, denn damit gibt es keine produktiv nutzbaren Host IP Adressen. Z.B. 10.0.0.136 /31 würde nur aus der produktiv nicht nutzbaren Netzwerkadresse selber .136 und der Broadcast Adresse .137 bestehen und keine nutzbaren IP Hostadressen enthalten.
Uh, nee, da hast du einen Denkfehler.
Bei /31 hast du *keine* Broadcast-Adresse und auch keine Netzadresse. Du hast in dem Netz genau zwei Hosts.
Das ist die typische Präfixlänge für Transfernetze, um eben keine Adressen für unbenutzbaren Kram zu verschwenden.
Da hast du natürlich Recht aber zumindestens die Broadcast Adresse ist m.W. immer produktiv unbrauchbar. Bei Cisco kann man mit "ip subnet zero" zwar erzwingen die Netzwerk Adresse produktiv zu nutzen aber nicht die Broadcast Adresse. Damit sind /31 Masken m.E. eigentlich nicht nutzbar.
M.W. ist /30 die typische Präfixlänge für Transfernetze mit nur 2 nutzbaren IPs.
M.W. ist /30 die typische Präfixlänge für Transfernetze mit nur 2 nutzbaren IPs.
Ist hier mit den o.a. Produkten auch so aber war mir nicht bewusst das es gefahrlos nutzbar ist. Das ip subnet zero gibt es auch in aktuellen IOS oder IOS-XE gar nicht mehr. Brocade/Commscope kennt es gar nicht so das man da wohl RFC3021 Konformität vorausstzen kann.
RFC3021 hat das manifestiert: https://packetlife.net/blog/2008/jun/18/using-31-bit-subnets-on-point-po ...
Danke für den Hinweis! Ab sofort dann nur noch /31er für P2P Transfernetze...wieder was gelernt! 😉
RFC3021 hat das manifestiert: https://packetlife.net/blog/2008/jun/18/using-31-bit-subnets-on-point-po ...
Danke für den Hinweis! Ab sofort dann nur noch /31er für P2P Transfernetze...wieder was gelernt! 😉