falkit
Goto Top

Pfsense HA mit nur einer IP-Adresse

Hi zusammen,
im Zuge einer Umstellung auf 10gbit möchte ich unsere alte pfsense austauschen und im besten Fall ein HA Cluster einrichten.
Vom Provider bekommen wir aktuell allerdings nur ein /30 Netzwerk als Transfernetz bereitgestellt, hinter welchem dann ein public class C Netz arbeitet.

Ich werde beim Provider Anfragen ob ein wechsel auf /29 möglich ist, sollte dies nicht der Fall sein, bleibt mir nur eine IP für das WAN Interface.

Hat jemand Erfahrungen und kann mir beantworten ob es möglich ist und vor allem ob es Sinn macht einen HA-Cluster zu konfigurieren, bei dem beide Firewalls die selbe WAN IP verwenden?

Hat außerdem jemand Erfahrungen mit folgender Hardware und kann beurteilen ob diese ausreicht um ca. 30 Netze, einen VPN Server sowie einige wenige Firewall Regeln bei 10gbit zu verwalten:
https://www.netgate.com/solutions/pfsense/xg-7100-1u-dual.html
https://www.netgate.com/solutions/pfsense/xg-1537-1u-dual.html

Danke!
Falk

Content-ID: 400602

Url: https://administrator.de/forum/pfsense-ha-mit-nur-einer-ip-adresse-400602.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

em-pie
Lösung em-pie 06.02.2019 um 10:53:22 Uhr
Goto Top
Moin,

Also ich bin jetzt kein. pfSense-Experte, kenne nur die Sophos UTM und habe gerade einmal kurz die Docu des CARP der pfSense überflogen:
https://docs.netgate.com/pfsense/en/latest/solutions/reference/highavail ...

Du brauchst an deinen öffentlichen IPs doch nichts ändern. Das HA Cluster hat „nach außen hin“ in alle Richtungen eine virtuelle IP. Und nur für „interne“ Zwecke erhält dennoch jeder Node eine eindeutige IP-Adresse, welche die pfSense nutzt, um die Verfügbarkeit der einzelnen Interfaces zu prüfen (Hesrtbeat).


Gruß
em-pie
ashnod
ashnod 06.02.2019 um 10:56:47 Uhr
Goto Top
Moin ...

um das beurteilen zu können müsste mehr zu eurer Infrastruktur bekannt sein ..

Ich denke mal 10gbit Internet steht euch eher nicht zur Verfügung!?

HA würde schon mit einem Provider/Anschluss nicht so wirklich Sinn machen wenn der ausfällt, also kommt eher eine Ausfallsicherheit der FW zum tragen ... die kann man auch mit einer IP einrichten.

Ansonsten ist die Frage welche Netze über die FW gehen sollen!? Das Routing zwischen den Netzen kann auch ein schnellerer L3-Switch erledigen ....

Also deine Frage läuft eher Gefahr "Defective by Design" zu sein.

VG
FalkIT
FalkIT 06.02.2019 um 11:20:24 Uhr
Goto Top
Mopin ashnod,
danke für die schnelle Antwort.
Die Internetanbindung wird 10gbit symetrisch sein. Natürlich bleibt der Flaschenhals der Provider, hier sind allerdings Ausfallzeiten vertraglich geregelt, auf die wir uns für den Moment erst einmal verlassen müssen.

Mir geht es um die eigene Ausfallsicherheit der Firewall. Dass es mit einer IP funktioniert, wie du und em-pie schreiben, habe ich zu pfsense ebenfalls online gefunden. Was ich wissen wollte ist ob es Nachteile gibt, es mit einer IP aufzusetzen. (z.B. kurze Downtime während des Wechsels von Master auf Slave der vielleicht nicht auftritt, wenn beide FWs unterschiedliche Adressen nutzen)

Zum aufbau der Netze.
Wir bekommen vom provider ein Tranfsernetz geliefert, 10.10.10.156/30
außerdem ein öffentliches class c Netz, 20.20.20.0/24

Die FW hat auf dem WAN Interface 10.10.10.158 konfiguriert, Gateway des Providers ist 10.10.10.157

Auf dem LAN Interface sind mehrere VLANs konfiguriert die zum teil private Adressen mit DHCP (z.B. 192.168.0.0/24) und zum Teil öffentliche Adressen (z.B. 20.20.20.0/28) verteilen.


|Gateway 10.10.10.157|
  • | FW WAN 10.10.10.158 |
  • * | FW LAN 20.20.20.1/28 | ------- | öffentliches subnet1 20.20.20.2/28 |
  • * | FW LAN 20.20.20.16/27 | ------- | öffentliches subnet1 20.20.20.7/27 |
  • * | FW LAN 192.168.0.1/24 | ------- | subnet2 192.168.0.2/24 |
  • * | FW LAN 192.168.1.1/24 | ------- | subnet2 192.168.1.2/24 |

Ich hoffe ich habe das ganze verständlich erklärt.

Gruß
Falk
Spirit-of-Eli
Lösung Spirit-of-Eli 06.02.2019 um 11:55:31 Uhr
Goto Top
Moin,

die downtime hast du bei unterschiedlichen WAN Adressen da die Sessions neu aufgebaut werden müssen.

Bei einer IP tritt dies nicht auf da der table auf beiden memebern gleich ist.

Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?

Gruß
Spirit
FalkIT
FalkIT 06.02.2019 um 11:57:49 Uhr
Goto Top
Hi Spirit,
danke für die Info, das war die Antwort die ich brauchte.
Colt soll das ganze liefern.

Gruß
Falk
em-pie
em-pie 06.02.2019 um 12:01:02 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Das kann z.B. DOKOM21: https://www.dokom21.de/de/Geschaeftskunden/Produkte--Tarife/Unternehmens ...

Du musst ja nur "Glas" haben und direkt am Backbone angebunden sein face-wink

Am Ende also immer eine Frage des Geldes

Gruß
em-pie
Spirit-of-Eli
Spirit-of-Eli 06.02.2019 um 12:03:06 Uhr
Goto Top
Jo, hätte ich auch gerne zuhause.
Dann könnte ich endlich von unzulänglicher Bandbreite der Gegenstelle sprechen.
ChriBo
Lösung ChriBo 06.02.2019 um 12:12:01 Uhr
Goto Top
Hallo,
du schriebst:
Mir geht es um die eigene Ausfallsicherheit der Firewall
meine Meinung: mach kein HA-Cluster, ich habe mehr downtime und Fehler wegen HA Cluster als wegen Hardwarefehler oä.
HA Cluster hat den Charme, daß Upgrades (fast) ohne downtime installiert und geprüft werden können.
-
Ich empfehle dir folgenden Aufbau:
GW Provider (10.10.10.157) <-> (10.10.10.158)"echter Router"(z.B. 20.20.20.254/24)<->(z.B. 20.20.20.253/24) pfSense (gebridge bzw genattete Netzwerke), d.h. das Transfernetz wird nicht von der pfSense sondern von einem Router abgearbeitet.
-
wg. Hardware: kann schwierig werden, frage doch bei Netgate an.
eine Alternative: schau dir mal bei Landitec die Scope-7 Appliances an.

Gruß
Christoph
FalkIT
FalkIT 06.02.2019 um 12:24:40 Uhr
Goto Top
Moin Christoph,

meine Meinung: mach kein HA-Cluster, ich habe mehr downtime und Fehler wegen HA Cluster als wegen Hardwarefehler oä.
Kannst du sagen wieso es zu den Ausfällen kommt? Bei korrekter Konfiguration (so zumindest die Theorie) sollte die zweite FW ja einfach nebenherlaufen ohne Probleme zu bereiten.

eine Alternative: schau dir mal bei Landitec die Scope-7 Appliances an.

werde ich mir anschauen.

Gruß
Falk
Spirit-of-Eli
Spirit-of-Eli 06.02.2019 um 13:01:56 Uhr
Goto Top
Bei anderen Herstellern haben wir ab und an cluster pink pong.
Die memeber switchen und kommen aus dem Kreis nicht raus.
aqui
aqui 06.02.2019 aktualisiert um 14:40:17 Uhr
Goto Top
inter welchem dann ein public class C Netz arbeitet.
Nur nebenbei...
Klassen in Netzwerken gibt es schon seit langem nicht mehr ! Sowas ist Steinzeit und 1993 mit Einführung von CIDR komplett abgeschafft worden !!
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Das das so schwer zu lernen ist und immer noch in Köpfen von Netzwerkern rumspukt... face-sad
Zum Rest ist oben ja schon alles gesagt....
Dani
Lösung Dani 06.02.2019 um 18:40:40 Uhr
Goto Top
Moin,
Hat jemand Erfahrungen und kann mir beantworten ob es möglich ist und vor allem ob es Sinn macht einen HA-Cluster zu konfigurieren, bei dem beide Firewalls die selbe WAN IP verwenden?
normalerweise erhält nicht die Hardware die IP-Adresse sondern wird an die Services gebunden. Denn eine Connection aus dem Intenet direkt von beiden Nodes ist nicht sinnvoll. Daher gibt ein Provider nur ein /30 heraus.

Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Haben wir mehrfach in Benutzung. Für Geld bekommst du fast alles. face-wink


Gruß,
Dani
Spirit-of-Eli
Spirit-of-Eli 06.02.2019 um 18:46:30 Uhr
Goto Top

Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Haben wir mehrfach in Benutzung. Für Geld bekommst du fast alles. face-wink


Gruß,
Dani

Ich vergesse iimmer das ich kaum Kontakt mit Enterprise Kunden habe :D