13
Pfsense HA mit nur einer IP-Adresse
Hi zusammen,
im Zuge einer Umstellung auf 10gbit möchte ich unsere alte pfsense austauschen und im besten Fall ein HA Cluster einrichten.
Vom Provider bekommen wir aktuell allerdings nur ein /30 Netzwerk als Transfernetz bereitgestellt, hinter welchem dann ein public class C Netz arbeitet.
Ich werde beim Provider Anfragen ob ein wechsel auf /29 möglich ist, sollte dies nicht der Fall sein, bleibt mir nur eine IP für das WAN Interface.
Hat jemand Erfahrungen und kann mir beantworten ob es möglich ist und vor allem ob es Sinn macht einen HA-Cluster zu konfigurieren, bei dem beide Firewalls die selbe WAN IP verwenden?
Hat außerdem jemand Erfahrungen mit folgender Hardware und kann beurteilen ob diese ausreicht um ca. 30 Netze, einen VPN Server sowie einige wenige Firewall Regeln bei 10gbit zu verwalten:
https://www.netgate.com/solutions/pfsense/xg-7100-1u-dual.html
https://www.netgate.com/solutions/pfsense/xg-1537-1u-dual.html
Danke!
Falk
im Zuge einer Umstellung auf 10gbit möchte ich unsere alte pfsense austauschen und im besten Fall ein HA Cluster einrichten.
Vom Provider bekommen wir aktuell allerdings nur ein /30 Netzwerk als Transfernetz bereitgestellt, hinter welchem dann ein public class C Netz arbeitet.
Ich werde beim Provider Anfragen ob ein wechsel auf /29 möglich ist, sollte dies nicht der Fall sein, bleibt mir nur eine IP für das WAN Interface.
Hat jemand Erfahrungen und kann mir beantworten ob es möglich ist und vor allem ob es Sinn macht einen HA-Cluster zu konfigurieren, bei dem beide Firewalls die selbe WAN IP verwenden?
Hat außerdem jemand Erfahrungen mit folgender Hardware und kann beurteilen ob diese ausreicht um ca. 30 Netze, einen VPN Server sowie einige wenige Firewall Regeln bei 10gbit zu verwalten:
https://www.netgate.com/solutions/pfsense/xg-7100-1u-dual.html
https://www.netgate.com/solutions/pfsense/xg-1537-1u-dual.html
Danke!
Falk
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 400602
Url: https://administrator.de/contentid/400602
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
Also ich bin jetzt kein. pfSense-Experte, kenne nur die Sophos UTM und habe gerade einmal kurz die Docu des CARP der pfSense überflogen:
https://docs.netgate.com/pfsense/en/latest/solutions/reference/highavail ...
Du brauchst an deinen öffentlichen IPs doch nichts ändern. Das HA Cluster hat „nach außen hin“ in alle Richtungen eine virtuelle IP. Und nur für „interne“ Zwecke erhält dennoch jeder Node eine eindeutige IP-Adresse, welche die pfSense nutzt, um die Verfügbarkeit der einzelnen Interfaces zu prüfen (Hesrtbeat).
Gruß
em-pie
Also ich bin jetzt kein. pfSense-Experte, kenne nur die Sophos UTM und habe gerade einmal kurz die Docu des CARP der pfSense überflogen:
https://docs.netgate.com/pfsense/en/latest/solutions/reference/highavail ...
Du brauchst an deinen öffentlichen IPs doch nichts ändern. Das HA Cluster hat „nach außen hin“ in alle Richtungen eine virtuelle IP. Und nur für „interne“ Zwecke erhält dennoch jeder Node eine eindeutige IP-Adresse, welche die pfSense nutzt, um die Verfügbarkeit der einzelnen Interfaces zu prüfen (Hesrtbeat).
Gruß
em-pie
Moin ...
um das beurteilen zu können müsste mehr zu eurer Infrastruktur bekannt sein ..
Ich denke mal 10gbit Internet steht euch eher nicht zur Verfügung!?
HA würde schon mit einem Provider/Anschluss nicht so wirklich Sinn machen wenn der ausfällt, also kommt eher eine Ausfallsicherheit der FW zum tragen ... die kann man auch mit einer IP einrichten.
Ansonsten ist die Frage welche Netze über die FW gehen sollen!? Das Routing zwischen den Netzen kann auch ein schnellerer L3-Switch erledigen ....
Also deine Frage läuft eher Gefahr "Defective by Design" zu sein.
VG
um das beurteilen zu können müsste mehr zu eurer Infrastruktur bekannt sein ..
Ich denke mal 10gbit Internet steht euch eher nicht zur Verfügung!?
HA würde schon mit einem Provider/Anschluss nicht so wirklich Sinn machen wenn der ausfällt, also kommt eher eine Ausfallsicherheit der FW zum tragen ... die kann man auch mit einer IP einrichten.
Ansonsten ist die Frage welche Netze über die FW gehen sollen!? Das Routing zwischen den Netzen kann auch ein schnellerer L3-Switch erledigen ....
Also deine Frage läuft eher Gefahr "Defective by Design" zu sein.
VG
Mopin ashnod,
danke für die schnelle Antwort.
Die Internetanbindung wird 10gbit symetrisch sein. Natürlich bleibt der Flaschenhals der Provider, hier sind allerdings Ausfallzeiten vertraglich geregelt, auf die wir uns für den Moment erst einmal verlassen müssen.
Mir geht es um die eigene Ausfallsicherheit der Firewall. Dass es mit einer IP funktioniert, wie du und em-pie schreiben, habe ich zu pfsense ebenfalls online gefunden. Was ich wissen wollte ist ob es Nachteile gibt, es mit einer IP aufzusetzen. (z.B. kurze Downtime während des Wechsels von Master auf Slave der vielleicht nicht auftritt, wenn beide FWs unterschiedliche Adressen nutzen)
Zum aufbau der Netze.
Wir bekommen vom provider ein Tranfsernetz geliefert, 10.10.10.156/30
außerdem ein öffentliches class c Netz, 20.20.20.0/24
Die FW hat auf dem WAN Interface 10.10.10.158 konfiguriert, Gateway des Providers ist 10.10.10.157
Auf dem LAN Interface sind mehrere VLANs konfiguriert die zum teil private Adressen mit DHCP (z.B. 192.168.0.0/24) und zum Teil öffentliche Adressen (z.B. 20.20.20.0/28) verteilen.
|Gateway 10.10.10.157|
Ich hoffe ich habe das ganze verständlich erklärt.
Gruß
Falk
danke für die schnelle Antwort.
Die Internetanbindung wird 10gbit symetrisch sein. Natürlich bleibt der Flaschenhals der Provider, hier sind allerdings Ausfallzeiten vertraglich geregelt, auf die wir uns für den Moment erst einmal verlassen müssen.
Mir geht es um die eigene Ausfallsicherheit der Firewall. Dass es mit einer IP funktioniert, wie du und em-pie schreiben, habe ich zu pfsense ebenfalls online gefunden. Was ich wissen wollte ist ob es Nachteile gibt, es mit einer IP aufzusetzen. (z.B. kurze Downtime während des Wechsels von Master auf Slave der vielleicht nicht auftritt, wenn beide FWs unterschiedliche Adressen nutzen)
Zum aufbau der Netze.
Wir bekommen vom provider ein Tranfsernetz geliefert, 10.10.10.156/30
außerdem ein öffentliches class c Netz, 20.20.20.0/24
Die FW hat auf dem WAN Interface 10.10.10.158 konfiguriert, Gateway des Providers ist 10.10.10.157
Auf dem LAN Interface sind mehrere VLANs konfiguriert die zum teil private Adressen mit DHCP (z.B. 192.168.0.0/24) und zum Teil öffentliche Adressen (z.B. 20.20.20.0/28) verteilen.
|Gateway 10.10.10.157|
- | FW WAN 10.10.10.158 |
- * | FW LAN 20.20.20.1/28 | ------- | öffentliches subnet1 20.20.20.2/28 |
- * | FW LAN 20.20.20.16/27 | ------- | öffentliches subnet1 20.20.20.7/27 |
- * | FW LAN 192.168.0.1/24 | ------- | subnet2 192.168.0.2/24 |
- * | FW LAN 192.168.1.1/24 | ------- | subnet2 192.168.1.2/24 |
Ich hoffe ich habe das ganze verständlich erklärt.
Gruß
Falk
Moin,
die downtime hast du bei unterschiedlichen WAN Adressen da die Sessions neu aufgebaut werden müssen.
Bei einer IP tritt dies nicht auf da der table auf beiden memebern gleich ist.
Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Gruß
Spirit
die downtime hast du bei unterschiedlichen WAN Adressen da die Sessions neu aufgebaut werden müssen.
Bei einer IP tritt dies nicht auf da der table auf beiden memebern gleich ist.
Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Gruß
Spirit
Hi Spirit,
danke für die Info, das war die Antwort die ich brauchte.
Colt soll das ganze liefern.
Gruß
Falk
danke für die Info, das war die Antwort die ich brauchte.
Colt soll das ganze liefern.
Gruß
Falk
Zitat von @Spirit-of-Eli:
Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Das kann z.B. DOKOM21: https://www.dokom21.de/de/Geschaeftskunden/Produkte--Tarife/Unternehmens ...Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Du musst ja nur "Glas" haben und direkt am Backbone angebunden sein
Am Ende also immer eine Frage des Geldes
Gruß
em-pie
Jo, hätte ich auch gerne zuhause.
Dann könnte ich endlich von unzulänglicher Bandbreite der Gegenstelle sprechen.
Dann könnte ich endlich von unzulänglicher Bandbreite der Gegenstelle sprechen.
Hallo,
du schriebst:
HA Cluster hat den Charme, daß Upgrades (fast) ohne downtime installiert und geprüft werden können.
-
Ich empfehle dir folgenden Aufbau:
GW Provider (10.10.10.157) <-> (10.10.10.158)"echter Router"(z.B. 20.20.20.254/24)<->(z.B. 20.20.20.253/24) pfSense (gebridge bzw genattete Netzwerke), d.h. das Transfernetz wird nicht von der pfSense sondern von einem Router abgearbeitet.
-
wg. Hardware: kann schwierig werden, frage doch bei Netgate an.
eine Alternative: schau dir mal bei Landitec die Scope-7 Appliances an.
Gruß
Christoph
du schriebst:
Mir geht es um die eigene Ausfallsicherheit der Firewall
meine Meinung: mach kein HA-Cluster, ich habe mehr downtime und Fehler wegen HA Cluster als wegen Hardwarefehler oä.HA Cluster hat den Charme, daß Upgrades (fast) ohne downtime installiert und geprüft werden können.
-
Ich empfehle dir folgenden Aufbau:
GW Provider (10.10.10.157) <-> (10.10.10.158)"echter Router"(z.B. 20.20.20.254/24)<->(z.B. 20.20.20.253/24) pfSense (gebridge bzw genattete Netzwerke), d.h. das Transfernetz wird nicht von der pfSense sondern von einem Router abgearbeitet.
-
wg. Hardware: kann schwierig werden, frage doch bei Netgate an.
eine Alternative: schau dir mal bei Landitec die Scope-7 Appliances an.
Gruß
Christoph
Moin Christoph,
werde ich mir anschauen.
Gruß
Falk
meine Meinung: mach kein HA-Cluster, ich habe mehr downtime und Fehler wegen HA Cluster als wegen Hardwarefehler oä.
Kannst du sagen wieso es zu den Ausfällen kommt? Bei korrekter Konfiguration (so zumindest die Theorie) sollte die zweite FW ja einfach nebenherlaufen ohne Probleme zu bereiten.eine Alternative: schau dir mal bei Landitec die Scope-7 Appliances an.
werde ich mir anschauen.
Gruß
Falk
Bei anderen Herstellern haben wir ab und an cluster pink pong.
Die memeber switchen und kommen aus dem Kreis nicht raus.
Die memeber switchen und kommen aus dem Kreis nicht raus.
inter welchem dann ein public class C Netz arbeitet.
Nur nebenbei...Klassen in Netzwerken gibt es schon seit langem nicht mehr ! Sowas ist Steinzeit und 1993 mit Einführung von CIDR komplett abgeschafft worden !!
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Das das so schwer zu lernen ist und immer noch in Köpfen von Netzwerkern rumspukt...
Zum Rest ist oben ja schon alles gesagt....
Moin,
Gruß,
Dani
Hat jemand Erfahrungen und kann mir beantworten ob es möglich ist und vor allem ob es Sinn macht einen HA-Cluster zu konfigurieren, bei dem beide Firewalls die selbe WAN IP verwenden?
normalerweise erhält nicht die Hardware die IP-Adresse sondern wird an die Services gebunden. Denn eine Connection aus dem Intenet direkt von beiden Nodes ist nicht sinnvoll. Daher gibt ein Provider nur ein /30 heraus. Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Haben wir mehrfach in Benutzung. Für Geld bekommst du fast alles. Gruß,
Dani
Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Haben wir mehrfach in Benutzung. Für Geld bekommst du fast alles. Gruß,
Dani
Ich vergesse iimmer das ich kaum Kontakt mit Enterprise Kunden habe :D
