Sinds een aantal maanden draai ik naar volle tevredenheid een OPNsense firewall in een VM op ESXi. Gaat allemaal hartstikke leuk.
Nu wilde ik bij wijze van experiment eens een HA clustertje opzetten. Juist omdat er door mijn geklooi in het netwerk af en toe wel eens pubers zonder netwerk naar beneden stormen. De concepten van HA zijn mij grotendeels duidelijk. Denk ik.
Ik heb wat op het internet rondgestruind en kwam op deze bouwplannen:
https://docs.opnsense.org/manual/how-tos/carp.html
https://vorkbaard.nl/how-...lity-hardware-redundancy/
https://www.thomas-krenn...._HA_Cluster_configuration
Ik heb het als volgt opgezet:
Je ziet, een ESX op links, een ESX op rechts. Een KPN modem waarin beide OPNsense VM's een fixed IP hebben. Op de KPN box zie ik ook het WAN VIP "aangesloten" zijn.
Groen = LAN
Bruin = SYNC netwerkje (via vmware virtual switch)
Indigo = WAN naar KPN box.
Je zult snappen dat er op het LAN nog eea aan switches draait, maar dat zou het plaatje een beetje druk maken.
Hier de definitie van mijn Virtual IP's:
In het plaatje is de firewall links de backup (momenteel niet de eigenaar van de VIPS):
De Firewall rechts is momenteel de master:
Ik heb sterk het vermoeden dat er iets in de rules niet helemaal pluis is. Hier de rules voor de SYNC interface:
De WAN rules:
LAN:
Ik snap dat je het translation address van de NAT regels moet aanpassen. Deze zijn als volgt:
In mn Windows client heb ik vervolgens handmatig mn IP gezet en het gateway adres op het LAN Virtual IP gezet. Gevolg: geen connectiviteit; ik kan alleen de LAN adressen benaderen. Ook het LAN VIP is niet te pingen.
Vervolgens naar de Master OPNsense node gegaan om te zien of daar eea te pingen is. Jawel:
- LAN VIP is pingbaar
- WAN VIP is pingbaar
- KPN router is pingbaar
Maw: er gaat iets vreselijk mis tussen de client en de gedefinieerde VIPs, maar met mijn beperkte netwerkkennis kom ik er niet uit (ben toch meer een databaseboer...)
Ik ben zo benieuwd wat ik nu fout heb gedaan... De SYNC interface doet wat -ie moet doen, ik krijg nergens foutmeldingen en de synchronisatie tussen de firewalls draait soepeltjes.
De afzonderlijke firewalls draaien ook prima (met default NAT regels) , maar zodra ik mn client iets laat doen via de VIPs gaat het mis.
Nu wilde ik bij wijze van experiment eens een HA clustertje opzetten. Juist omdat er door mijn geklooi in het netwerk af en toe wel eens pubers zonder netwerk naar beneden stormen. De concepten van HA zijn mij grotendeels duidelijk. Denk ik.
Ik heb wat op het internet rondgestruind en kwam op deze bouwplannen:
https://docs.opnsense.org/manual/how-tos/carp.html
https://vorkbaard.nl/how-...lity-hardware-redundancy/
https://www.thomas-krenn...._HA_Cluster_configuration
Ik heb het als volgt opgezet:
Je ziet, een ESX op links, een ESX op rechts. Een KPN modem waarin beide OPNsense VM's een fixed IP hebben. Op de KPN box zie ik ook het WAN VIP "aangesloten" zijn.
Groen = LAN
Bruin = SYNC netwerkje (via vmware virtual switch)
Indigo = WAN naar KPN box.
Je zult snappen dat er op het LAN nog eea aan switches draait, maar dat zou het plaatje een beetje druk maken.
Hier de definitie van mijn Virtual IP's:
In het plaatje is de firewall links de backup (momenteel niet de eigenaar van de VIPS):
De Firewall rechts is momenteel de master:
Ik heb sterk het vermoeden dat er iets in de rules niet helemaal pluis is. Hier de rules voor de SYNC interface:
De WAN rules:
LAN:
Ik snap dat je het translation address van de NAT regels moet aanpassen. Deze zijn als volgt:
In mn Windows client heb ik vervolgens handmatig mn IP gezet en het gateway adres op het LAN Virtual IP gezet. Gevolg: geen connectiviteit; ik kan alleen de LAN adressen benaderen. Ook het LAN VIP is niet te pingen.
Vervolgens naar de Master OPNsense node gegaan om te zien of daar eea te pingen is. Jawel:
- LAN VIP is pingbaar
- WAN VIP is pingbaar
- KPN router is pingbaar
Maw: er gaat iets vreselijk mis tussen de client en de gedefinieerde VIPs, maar met mijn beperkte netwerkkennis kom ik er niet uit (ben toch meer een databaseboer...)
Ik ben zo benieuwd wat ik nu fout heb gedaan... De SYNC interface doet wat -ie moet doen, ik krijg nergens foutmeldingen en de synchronisatie tussen de firewalls draait soepeltjes.
De afzonderlijke firewalls draaien ook prima (met default NAT regels) , maar zodra ik mn client iets laat doen via de VIPs gaat het mis.