Pfsense HA mit nur einer IP-Adresse
Hi zusammen,
im Zuge einer Umstellung auf 10gbit möchte ich unsere alte pfsense austauschen und im besten Fall ein HA Cluster einrichten.
Vom Provider bekommen wir aktuell allerdings nur ein /30 Netzwerk als Transfernetz bereitgestellt, hinter welchem dann ein public class C Netz arbeitet.
Ich werde beim Provider Anfragen ob ein wechsel auf /29 möglich ist, sollte dies nicht der Fall sein, bleibt mir nur eine IP für das WAN Interface.
Hat jemand Erfahrungen und kann mir beantworten ob es möglich ist und vor allem ob es Sinn macht einen HA-Cluster zu konfigurieren, bei dem beide Firewalls die selbe WAN IP verwenden?
Hat außerdem jemand Erfahrungen mit folgender Hardware und kann beurteilen ob diese ausreicht um ca. 30 Netze, einen VPN Server sowie einige wenige Firewall Regeln bei 10gbit zu verwalten:
https://www.netgate.com/solutions/pfsense/xg-7100-1u-dual.html
https://www.netgate.com/solutions/pfsense/xg-1537-1u-dual.html
Danke!
Falk
im Zuge einer Umstellung auf 10gbit möchte ich unsere alte pfsense austauschen und im besten Fall ein HA Cluster einrichten.
Vom Provider bekommen wir aktuell allerdings nur ein /30 Netzwerk als Transfernetz bereitgestellt, hinter welchem dann ein public class C Netz arbeitet.
Ich werde beim Provider Anfragen ob ein wechsel auf /29 möglich ist, sollte dies nicht der Fall sein, bleibt mir nur eine IP für das WAN Interface.
Hat jemand Erfahrungen und kann mir beantworten ob es möglich ist und vor allem ob es Sinn macht einen HA-Cluster zu konfigurieren, bei dem beide Firewalls die selbe WAN IP verwenden?
Hat außerdem jemand Erfahrungen mit folgender Hardware und kann beurteilen ob diese ausreicht um ca. 30 Netze, einen VPN Server sowie einige wenige Firewall Regeln bei 10gbit zu verwalten:
https://www.netgate.com/solutions/pfsense/xg-7100-1u-dual.html
https://www.netgate.com/solutions/pfsense/xg-1537-1u-dual.html
Danke!
Falk
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 400602
Url: https://administrator.de/forum/pfsense-ha-mit-nur-einer-ip-adresse-400602.html
Ausgedruckt am: 26.12.2024 um 21:12 Uhr
13 Kommentare
Neuester Kommentar
Moin,
Also ich bin jetzt kein. pfSense-Experte, kenne nur die Sophos UTM und habe gerade einmal kurz die Docu des CARP der pfSense überflogen:
https://docs.netgate.com/pfsense/en/latest/solutions/reference/highavail ...
Du brauchst an deinen öffentlichen IPs doch nichts ändern. Das HA Cluster hat „nach außen hin“ in alle Richtungen eine virtuelle IP. Und nur für „interne“ Zwecke erhält dennoch jeder Node eine eindeutige IP-Adresse, welche die pfSense nutzt, um die Verfügbarkeit der einzelnen Interfaces zu prüfen (Hesrtbeat).
Gruß
em-pie
Also ich bin jetzt kein. pfSense-Experte, kenne nur die Sophos UTM und habe gerade einmal kurz die Docu des CARP der pfSense überflogen:
https://docs.netgate.com/pfsense/en/latest/solutions/reference/highavail ...
Du brauchst an deinen öffentlichen IPs doch nichts ändern. Das HA Cluster hat „nach außen hin“ in alle Richtungen eine virtuelle IP. Und nur für „interne“ Zwecke erhält dennoch jeder Node eine eindeutige IP-Adresse, welche die pfSense nutzt, um die Verfügbarkeit der einzelnen Interfaces zu prüfen (Hesrtbeat).
Gruß
em-pie
Moin ...
um das beurteilen zu können müsste mehr zu eurer Infrastruktur bekannt sein ..
Ich denke mal 10gbit Internet steht euch eher nicht zur Verfügung!?
HA würde schon mit einem Provider/Anschluss nicht so wirklich Sinn machen wenn der ausfällt, also kommt eher eine Ausfallsicherheit der FW zum tragen ... die kann man auch mit einer IP einrichten.
Ansonsten ist die Frage welche Netze über die FW gehen sollen!? Das Routing zwischen den Netzen kann auch ein schnellerer L3-Switch erledigen ....
Also deine Frage läuft eher Gefahr "Defective by Design" zu sein.
VG
um das beurteilen zu können müsste mehr zu eurer Infrastruktur bekannt sein ..
Ich denke mal 10gbit Internet steht euch eher nicht zur Verfügung!?
HA würde schon mit einem Provider/Anschluss nicht so wirklich Sinn machen wenn der ausfällt, also kommt eher eine Ausfallsicherheit der FW zum tragen ... die kann man auch mit einer IP einrichten.
Ansonsten ist die Frage welche Netze über die FW gehen sollen!? Das Routing zwischen den Netzen kann auch ein schnellerer L3-Switch erledigen ....
Also deine Frage läuft eher Gefahr "Defective by Design" zu sein.
VG
Zitat von @Spirit-of-Eli:
Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Das kann z.B. DOKOM21: https://www.dokom21.de/de/Geschaeftskunden/Produkte--Tarife/Unternehmens ...Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Du musst ja nur "Glas" haben und direkt am Backbone angebunden sein
Am Ende also immer eine Frage des Geldes
Gruß
em-pie
Hallo,
du schriebst:
HA Cluster hat den Charme, daß Upgrades (fast) ohne downtime installiert und geprüft werden können.
-
Ich empfehle dir folgenden Aufbau:
GW Provider (10.10.10.157) <-> (10.10.10.158)"echter Router"(z.B. 20.20.20.254/24)<->(z.B. 20.20.20.253/24) pfSense (gebridge bzw genattete Netzwerke), d.h. das Transfernetz wird nicht von der pfSense sondern von einem Router abgearbeitet.
-
wg. Hardware: kann schwierig werden, frage doch bei Netgate an.
eine Alternative: schau dir mal bei Landitec die Scope-7 Appliances an.
Gruß
Christoph
du schriebst:
Mir geht es um die eigene Ausfallsicherheit der Firewall
meine Meinung: mach kein HA-Cluster, ich habe mehr downtime und Fehler wegen HA Cluster als wegen Hardwarefehler oä.HA Cluster hat den Charme, daß Upgrades (fast) ohne downtime installiert und geprüft werden können.
-
Ich empfehle dir folgenden Aufbau:
GW Provider (10.10.10.157) <-> (10.10.10.158)"echter Router"(z.B. 20.20.20.254/24)<->(z.B. 20.20.20.253/24) pfSense (gebridge bzw genattete Netzwerke), d.h. das Transfernetz wird nicht von der pfSense sondern von einem Router abgearbeitet.
-
wg. Hardware: kann schwierig werden, frage doch bei Netgate an.
eine Alternative: schau dir mal bei Landitec die Scope-7 Appliances an.
Gruß
Christoph
inter welchem dann ein public class C Netz arbeitet.
Nur nebenbei...Klassen in Netzwerken gibt es schon seit langem nicht mehr ! Sowas ist Steinzeit und 1993 mit Einführung von CIDR komplett abgeschafft worden !!
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Das das so schwer zu lernen ist und immer noch in Köpfen von Netzwerkern rumspukt...
Zum Rest ist oben ja schon alles gesagt....
Moin,
Gruß,
Dani
Hat jemand Erfahrungen und kann mir beantworten ob es möglich ist und vor allem ob es Sinn macht einen HA-Cluster zu konfigurieren, bei dem beide Firewalls die selbe WAN IP verwenden?
normalerweise erhält nicht die Hardware die IP-Adresse sondern wird an die Services gebunden. Denn eine Connection aus dem Intenet direkt von beiden Nodes ist nicht sinnvoll. Daher gibt ein Provider nur ein /30 heraus. Eine symmetrisch 10gb Anbindung halte ich für fragwürdig. Welcher provider soll das denn liefern?
Haben wir mehrfach in Benutzung. Für Geld bekommst du fast alles. Gruß,
Dani