Wie konfiguriert man Hochverfügbarkeit auf OPNsense?

Veröffentlicht am: 22 November, 2024

.

10 Minuten Lesezeit

.

Für die Englische Version

Hohe Verfügbarkeit (HA) bezieht sich auf die Fähigkeit eines IT-Systems, einer Komponente oder einer Anwendung, über einen bestimmten Zeitraum hinweg konsistent und ohne Unterbrechung auf einem überlegenen Niveau zu funktionieren. Hohe Verfügbarkeit (HA) zielt darauf ab, sicherzustellen, dass ein System ein vorab festgelegtes Niveau der Betriebsleistung erfüllt. Die Hochverfügbarkeitsarchitektur ist darauf ausgelegt, optimale Leistung zu bieten und verschiedene Arbeitslasten und Fehler effektiv zu verwalten, während Unterbrechungen im Dienst minimiert oder beseitigt werden. Fünf-neun-Verfügbarkeit, ein hoch geschätztes Kriterium im Bereich der Informationstechnologie (IT), bezieht sich auf ein System oder Produkt, das 99,999% der Zeit zugänglich ist.

Eine beeindruckende Fähigkeit von OPNsense ist die Möglichkeit, eine redundante Firewall mit einer automatisierten Failover-Option einzurichten. OPNsense verwendet das Common Address Redundancy Protocol (CARP), um Hardware-Failover zu ermöglichen. Eine Failover-Gruppe wird durch die Konfiguration von zwei oder mehr Firewalls erstellt. Der Sekundär wird aktiv, wenn eine Schnittstelle auf der Master-Firewall ausfällt oder die primäre Firewall vollständig ausfällt.

Mit dieser leistungsstarken OPNsense-Funktionalität kann man ein vollständig redundantes Firewall-System mit automatisiertem und fehlerfreiem Failover einrichten. Während des Übergangs zum Backup-Netzwerk bleiben die Verbindungen mit nur geringen Störungen für die Nutzer betriebsbereit.

Best Practice

Das Zenarmor NGFW-Plugin für OPNsense ist eines der beliebtesten OPNsense-Plugins und ermöglicht es Ihnen, Ihre Firewall in Sekundenschnelle auf eine Next Generation Firewall aufzurüsten. NG Firewalls ermöglichen es Ihnen, modernen Cyberangriffen entgegenzuwirken, die jeden Tag raffinierter werden.

Einige der Funktionen sind Layer-7-Anwendungs-/Benutzer-bewusstes Blockieren, granulare Filterrichtlinien, kommerzielles Webfiltering mit cloud-basierter KI-gestützter Bedrohungsintelligenz, Kindersicherung und die besten Netzwerk-Analysen und -Berichte der Branche.

Zenarmor Free Edition ist für alle OPNsense-Nutzer kostenlos verfügbar. Sie können Zenarmor Business Edition, die Unterstützung für hohe Verfügbarkeit auf Ihrer OPNsense HA-Cluster-Firewall bietet, ausführen.

In diesem Tutorial zeigen wir Ihnen, wie Sie Hochverfügbarkeit auf OPNsense-Firewallsystemen konfigurieren. Sie können die Funktionen für hohe Verfügbarkeit (HA), CARP und pfSync mühelos auf Ihren OPNsense-Knoten konfigurieren und ein redundantes OPNsense-Firewall-Cluster einrichten, indem Sie die folgenden Hauptschritte befolgen:

1. Schnittstellen konfigurieren
2. Firewall-Regeln konfigurieren
   1. Fügen Sie Firewall-Regeln auf dem Master-Knoten hinzu
   2. Firewall-Regeln auf dem Backup-Knoten hinzufügen
3. Konfigurieren Sie virtuelle IP-Adressen
4. Konfigurieren Sie Outbound NAT
5. DHCP-Server konfigurieren (Optional)
6. Konfigurieren Sie pfSync und HA-Synchronisierung (xmlrpc)
7. Mehrere CARP-IP-Adressen hinzufügen (Optional)
8. Test

Abbildung 1. OPNsense Hochverfügbarkeits-Topologie

Was sind die Anforderungen für einen OPNsense HA-Cluster?

Eine redundante OPNsense-Firewall hat die folgenden Anforderungen:

• Zwei OPNsense-Firewall-Geräte: In diesem Tutorial gehen wir davon aus, dass Sie bereits zwei OPNsense-Firewalls installiert und konfiguriert haben, die jeweils mindestens drei Netzwerkschnittstellen haben.
• 3 IP-Adressen für das Weitverkehrsnetz (WAN): Uplink mit mindestens drei zugänglichen IP-Adressen (one fixed IP address per master firewall and backup firewall, in addition to one virtual IP address designated for the master firewall).
• 3 IP-Adressen für das lokale Netzwerk (LAN): drei verfügbare IP-Adressen (one fixed IP address for the master firewall and backup firewall, in addition to a virtual IP address designated for the master firewall).

tipp

Damit die beiden OPNsense-Clusterknoten innerhalb virtueller Maschinen betrieben werden können, müssen MAC-Adressänderungen für die virtuellen Maschinen erlaubt sein. Die Nutzung des Common Address Redundancy Protocol (CARP) erfordert dies.

1. Schnittstellen konfigurieren

In diesem Tutorial haben die Master- und Backup-Firewalls 3 Schnittstellen mit den folgenden IP-Adressen:

Schnittstelle	IP-Adresse
LAN	10.10.10.201/24
WAN	192.168.0.201/24
pfSync	11.11.0.1

Tabelle 1. IP-Adressen der Master-Firewall-Schnittstellen

Schnittstelle	IP-Adresse
LAN	10.10.10.202/24
WAN	192.168.0.202/24
pfSync	11.11.0.2

Tabelle 2. IP-Adressen der Backup-Firewall-Schnittstellen

Abbildung 2. Übersicht der LAN-Schnittstelle auf dem Master-Knoten

Abbildung 3. Übersicht der WAN-Schnittstelle auf dem Master-Knoten

Abbildung 4. Übersicht der pfSync-Schnittstelle auf dem Master-Knoten

Abbildung 5. Übersicht der LAN-Schnittstellen auf dem Backup-Knoten

Abbildung 6. Übersicht der WAN-Schnittstelle auf dem Backup-Knoten

Abbildung 7. Übersicht der pfSync-Schnittstelle auf dem Backup-Knoten

vorsicht

Stellen Sie sicher, dass die Schnittstellenzuweisungen auf beiden Systemen identisch sind. Durch den Zugriff auf das Menü Interfaces > Overview im OPNsense-Web-UI kann man feststellen, ob eine Einstellung wie LAN auf beiden Maschinen auf opt1 gesetzt ist. Wenn die Zuweisungen abweichen, werden die Master- und Backup-IP-Adressen auf beiden Geräten vermischt.

2. Firewall-Regeln konfigurieren

Sie müssen Firewall-Regeln sowohl auf der Master- als auch auf der Backup-Firewall erstellen.

2.1. Firewall-Regel auf dem Master-Knoten hinzufügen

Sie können ganz einfach Firewall-Regeln zu Ihrem Master-Knoten hinzufügen, indem Sie die nächsten Schritte befolgen:

1. Verbinden Sie sich über die Web-Oberfläche mit der Master-Firewall.

2. Stellen Sie sicher, dass die richtigen Protokolle auf den verschiedenen Schnittstellen verwendet werden können, indem Sie zu Firewall → Rules navigieren.

3. Stellen Sie sicher, dass sowohl das LAN als auch das WAN CARP-Pakete akzeptieren.

   Abbildung 8. Firewall-Regel zur Erlaubung von CARP auf der LAN-Schnittstelle des Masters

   Abbildung 9. Firewall-Regeln auf der LAN-Schnittstelle des Masters

   Abbildung 10. Firewall-Regel zur Erlaubung von CARP auf der WAN-Schnittstelle des Masters

4. Wählen Sie die pfSync-Schnittstelle im Menü Firewall → Rules aus.

5. Fügen Sie eine Regel hinzu, um allen Verkehr über alle Protokolle für die vorgesehene Schnittstelle zuzulassen, aufgrund der direkten Kabelverbindung zwischen den beiden Firewalls. Es ist auch möglich, die Annahme von Datenverkehr auf das pfSync-Protokoll und den GUI-Port zu beschränken.

   Abbildung 11. Firewall-Regel, um alle Pakete auf der pfSync-Schnittstelle des Masters zuzulassen

2.2. Firewall-Regel auf Backup-Knoten hinzufügen

Da wir die Firewall-Einstellungen zwischen beiden Hosts synchronisieren werden, erfordert die anfängliche Konfiguration lediglich, dass die pfSync-Schnittstelle Daten vom Master empfangen kann. Wenden Sie dieselbe Regel auf diese Schnittstelle an, wie sie auf den Master angewendet wurde, indem Sie die nächsten Schritte befolgen:

1. Verbinden Sie sich über die Web-Oberfläche mit der Master-Firewall.

2. Navigieren Sie zu Firewall → Rules.

3. Wählen Sie die pfSync-Schnittstelle aus.

4. Fügen Sie eine Regel hinzu, um allen Verkehr über alle Protokolle für die vorgesehene Schnittstelle zuzulassen, aufgrund der direkten Kabelverbindung zwischen den beiden Firewalls. Es ist auch möglich, die Annahme von Datenverkehr auf das pfSync-Protokoll und den GUI-Port zu beschränken.

   Abbildung 12. Firewall-Regel zum Zulassen aller Pakete auf der pfSync-Schnittstelle des Backup-Knotens

3. Konfigurieren Sie die virtuelle IP-Adresse

Wir werden unsere virtuellen IP-Adressen auf dem Master-Knoten konfigurieren. Diese Adressen werden gespiegelt, wobei nach der Synchronisierung ein größeres Ungleichgewicht auf dem sekundären Knoten besteht. Virtuelle IP-Adressen haben die folgenden Einstellungen:

Option	Beschreibung
Modus	Der Adresstyp, wie IP Alias, CARP, Proxy ARP und andere.
Schnittstelle	Die Schnittstelle, die mit dieser Adresse verbunden ist.
Typ	Die Auswirkungen eines Netzwerks oder einer einzelnen Adresse beschränken sich auf die Erstellung von NAT-Regeln, bei denen die Kombination von Proxy ARP und Andere mit Expansion eindeutige Adressen für jedes Element in der Netzmaske erzeugt.
Expansion	Wenn zutreffend, separate Adressen innerhalb der Netzmaske.
Adresse	Im Allgemeinen sollten bei der Zuweisung mehrerer Adressen innerhalb desselben Netzwerks die Adresse und die zugewiesene Netzmaske übereinstimmen.
Gateway	Dieses Feld ist ausschließlich für IP-Alias-Varianten anwendbar. Während es im Allgemeinen empfohlen wird, es leer zu lassen, erfordern bestimmte Tunnelgeräte (ppp/pppoe/tun), dass die Gateway-Adresse angegeben wird.
Virtuelles IP-Passwort	Damit bevorzugte Master- und Fallback-Knoten CARP-Übertragungen über das Netzwerk verschlüsseln können, muss das Passwort identisch sein.
VHID-Gruppe	ID des virtuellen Hosts. Dies ist ein eindeutiger Zahlenwert, der verwendet wird, um die Redundanzgruppe von anderen Knoten innerhalb der Gruppe zu unterscheiden und um zwischen Gruppen zu unterscheiden, die im selben Netzwerk arbeiten. Der Bereich der akzeptablen Werte liegt zwischen 1 und 255. Diese Anforderung gilt für jedes einzelne Mitglied der Gruppe.
Werbefrequenz	Der Parameter gibt die Frequenz (in Sekunden) an, mit der diese Schnittstelle als zu einer Gruppe gehörend beworben wird, sowie die Verzerrung, die beim Übertragen von Werbeanzeigen angewendet werden soll. Eine größere Schiefe weist auf eine geringere Präferenz hin.
Beschreibung	Beschreibung, die benutzerfreundlich für diesen VIP ist

Tabelle 3. VIP-Einstellungen auf OPNsense

In unserem Beispiel haben die WAN- und LAN-Schnittstellen die folgenden VIP-Einstellungen:

Option	Wert
Typ	Carp
Schnittstelle	WAN
IP-Adressen	192.168.0.200 / 24
Virtuelles Passwort	opnsense
VHID-Gruppe	1
Werbehäufigkeit	Basis 1 / Skew 0
Beschreibung	VIP WAN

Tabelle 4. Virtuelle IP-Einstellungen der WAN-Schnittstelle

Option	Wert
Typ	Carp
Schnittstelle	LAN
IP-Adressen	10.10.10.200 / 24
Virtuelles Passwort	opnsense
VHID-Gruppe	3
Werbefrequenz	Basis 1 / Verzerrung 0
Beschreibung	VIP LAN

Tabelle 5. Virtuelle IP-Einstellungen der LAN-Schnittstelle

Um eine neue virtuelle IP-Adresse für die WAN-Schnittstelle auf der Master-Firewall zu erstellen, können Sie die folgenden Schritte ausführen:

1. Verbinden Sie sich über die Web-Oberfläche mit der Master-Firewall.

2. Navigieren Sie zur Seite Interfaces → Virtual IPs → Settings.

3. Klicken Sie auf die Schaltfläche Add mit dem +-Symbol in der unteren rechten Ecke der Seite.

4. Aktivieren Sie den advanced mode, indem Sie auf die Umschalttaste in der oberen linken Ecke des Fensters klicken.

5. Wählen Sie CARP im Dropdown-Menü Mode aus.

6. Wählen Sie WAN im Dropdown-Menü Interface aus.

7. Geben Sie Network / Address ein, wie z.B. 192.168.0.200/24.

8. Setzen Sie ein Password, wie zum Beispiel opnsense. Es ist besser, ein zufälliges Passwort mit 30 Zeichen zu verwenden. Sie können dieses Passwort auf einer Linux- oder FreeBSD-Maschine mit dem folgenden Befehl in der Befehlszeile erstellen:

   tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

9. Geben Sie die VHID group ein, die die Maschinen teilen werden, z.B. 1.

10. Sie können die advbase-Option, die die Basis des Werbeintervalls in Sekunden angibt, standardmäßig auf 1 belassen. Die akzeptablen Werte liegen zwischen 1 und 255.

11. Sie können die advskew-Option auf dem Standardwert 0 belassen.

12. Geben Sie eine Description ein, wie z.B. WAN VIP.

    Abbildung 13. Hinzufügen der VIP-Adresse auf der WAN-Schnittstelle des Master-Knotens

13. Klicken Sie auf Save.

14. Klicken Sie auf Apply, um die Einstellungen zu aktivieren.

Um eine neue virtuelle IP-Adresse für die LAN-Schnittstelle auf der Master-Firewall zu erstellen, können Sie die folgenden Schritte ausführen:

1. Verbinden Sie sich über die Web-Oberfläche mit der Master-Firewall.

2. Navigieren Sie zur Seite Interfaces → Virtual IPs → Settings.

3. Klicken Sie auf die Schaltfläche Add mit dem +-Symbol in der unteren rechten Ecke der Seite.

4. Aktivieren Sie den advanced mode, indem Sie auf die Umschalttaste in der oberen linken Ecke des Fensters klicken.

5. Wählen Sie CARP im Dropdown-Menü Mode aus.

6. Wählen Sie LAN im Dropdown-Menü Interface aus.

7. Geben Sie Network / Address ein, wie z.B. 10.10.10.200/24.

8. Setzen Sie Password, wie zum Beispiel opnsense.

9. Geben Sie die VHID group ein, die die Maschinen teilen werden, zum Beispiel 3. Diese Zahl dient als das letzte Oktett der MAC-Adresse der virtuellen IP-Adresse. In unserem Fall ist die MAC-Adresse 00:00:5e:00:01:03.

10. Sie können die advbase-Option, die die Basis des Werbeintervalls in Sekunden angibt, als Standard belassen. 1Die akzeptablen Werte liegen zwischen 1 und 255.

11. Sie können die advskew-Option auf dem Standardwert 0 belassen.

12. Geben Sie eine Description ein, wie z.B. LAN VIP.

    Abbildung 14. Hinzufügen der VIP-Adresse auf der LAN-Schnittstelle des Master-Knotens

13. Klicken Sie auf Save.

14. Klicken Sie auf Apply, um die Einstellungen zu aktivieren.

    Abbildung 15. Anwenden der VIP-Adresskonfiguration auf dem Master-Knoten

vorsicht

Wenden Sie ständig dieselbe Subnetzmaske auf Carp VIPs an wie auf ihre primäre Schnittstelle. Carp VIP sollte denselben Wert von /24 wie die übergeordnete Schnittstelle haben.

tipp

Stellen Sie sicher, dass die advskew-Optionen auf dem Backup-Knoten einen höheren Wert haben, wie zum Beispiel 100.

4. Konfigurieren Sie Outbound NAT

Um reibungslose Übergänge zu ermöglichen, sollte der Verkehr, der die Firewall verlässt, auch die virtuelle IP-Adresse verwenden, die mit der Wide Area Network (WAN)-Schnittstelle verbunden ist. Standardmäßig ist die Automatische NAT-Regelgenerierung für ausgehende Verbindungen, die die IP-Adresse der WAN-Schnittstelle verwendet, für OPNsense konfiguriert. Dies verhindert reibungslose Übergänge und muss auf den WAN VIP-Status geändert werden. Ihre ausgehende NAT-Regel sollte die folgenden Einstellungen enthalten, damit die Pakete aus dem 10.10.10.0/24-Netzwerk die CARP-virtuelle Schnittstelle (192.168.0.200) verwenden:

Option	Wert
Schnittstelle	WAN
Quelladresse	LAN-Netz (10.10.10.0/24)
Übersetzung / Ziel	(192.168.0.200)(CARP virtual IP)

Tabelle 6. Outbound nat rule

Sie können eine Outbound-NAT-Regel auf der Master-Firewall konfigurieren, indem Sie die folgenden Schritte ausführen:

1. Navigieren Sie zu Firewall → NAT → Outbound.

2. Wählen Sie Manual outbound nat rule generation.

   Abbildung 16. Auswahl des Outbound-NAT-Modus auf dem Master-Knoten

3. Klicken Sie auf die Schaltfläche Add mit dem +-Symbol, um eine Regel zu erstellen.

4. Wählen Sie WAN für die Interface-Option.

5. Setzen Sie LAN net als Source address-Option.

6. Setzen Sie 192.168.0.200 für die Translation / target-

   Abbildung 17. Hinzufügen einer ausgehenden NAT-Regel auf dem Master-Knoten

7. Klicken Sie auf Save.

8. Klicken Sie auf Apply Changes, um die Einstellungen zu aktivieren.

   Abbildung 18. Anzeigen der ausgehenden NAT-Regel auf dem Master-Knoten

5. DHCP-Server konfigurieren (Optional)

Bei der Implementierung von DHCP für das lokale Netzwerk müssen mehrere Faktoren berücksichtigt werden. Die virtuelle Adresse sollte von allen Verbrauchern anstelle der normalerweise übermittelten physischen Adresse verwendet werden. Zusätzlich ist es wichtig zu beachten, dass zwei Server gleichzeitig in Betrieb sein werden und sich ihrer Pools bewusst sein sollten. Wenn OPNsense DNS-Anfragen weiterleitet, überprüfen Sie, ob der DHCP-Server die richtige IP-Adresse bereitstellt. Auf beiden Firewalls unter Services → DHCPv4 → LAN die folgenden Parameter auswählen.

Die Konfigurationen auf dem Master-Knoten, die in unserem Beispiel verwendet werden, sind wie folgt:

Option	Wert
DNS-Server	10.10.10.200
Gateway	10.10.10.200
Failover-Peer-IP	10.10.10.202

Tabelle 7. DHCP-Serveroptionen auf dem Master-Knoten

Die Konfigurationen auf dem Backup-Knoten, die in unserem Beispiel verwendet werden, sind wie folgt:

Option	Wert
DNS-Server	10.10.10.200
Gateway	10.10.10.200
Failover-Peer-IP	10.10.10.201

Tabelle 8. DHCP-Server-Optionen auf dem Backup-Knoten

Abbildung 19. DHCP-Servereinstellungen auf dem Master-Knoten

6. Konfigurieren Sie pfSync und HA-Synchronisierung (xmlrpc)

Um den Synchronisationsprozess zu starten, ist es unerlässlich, pfSync und HA-Sync (xmlrpc) auf der Master-Firewall entsprechend zu konfigurieren. Um pfSync auf dem Master-Knoten zu aktivieren, können Sie die folgenden Schritte ausführen.

1. Verbinden Sie sich über die Web-Oberfläche mit der Haupt-Firewall.

2. Navigieren Sie zu System → High Availability → Settings

3. Überprüfen Sie die Option Synchronize States.

4. Wählen Sie PFSYNC für die Option Synchronize Interface.

5. Setzen Sie Synchronize Peer IP auf 11.11.0.2. (here use the IP address of the PFSYNC interface of backup firewall).

6. Setzen Sie Synchronize Config auf 11.11.0.2.

7. Setzen Sie Remote System Username, wie z.B. root.

8. Setzen Sie das Remote System Password, wie zum Beispiel opnsense.

9. Wählen Sie die zu synchronisierenden Dienste aus, wie Dashboard, Aliase, NAT, DHCPD, virtuelle IPs und Firewall-Regeln.

   Abbildung 20. HA-Einstellungen auf dem Master-Knoten

Wir haben die XMLRPC-Synchronisierung eingerichtet, um die Konfigurationseinstellungen der Master- und Backup-Firewalls zu synchronisieren. Um diesen Verkehr auf der direkten Verbindung zwischen den beiden Firewalls aufrechtzuerhalten, geben wir die Peer-IP (11.11.0.2 der PFSYNC-Schnittstelle) erneut in das Feld "Synchronize Config to IP" ein. In dieser Phase ist es notwendig, den Benutzernamen und das Passwort des Remote-Benutzers einzugeben sowie die gewünschten Einstellungen zu konfigurieren, die auf den Backup-Server repliziert werden sollen. In unserer Konfiguration werden wir Folgendes aktivieren:

• Dashboard synchronisieren
• Firewall-Regeln synchronisieren
• Aliase synchronisieren
• NAT synchronisieren
• DHCPD synchronisieren
• Virtuelle IPs synchronisieren

pfSync wird anschließend auf der sekundären Firewall konfiguriert. Um pfSync auf dem Backup-Knoten zu aktivieren, können Sie die folgenden Schritte ausführen:

1. Verbinden Sie sich mit der Backup-Firewall über die Web-Oberfläche.
2. Navigieren Sie zu System → High Availability → Settings.
3. Überprüfen Sie die Option Synchronize States.
4. Wählen Sie PFSYNC für die Option Synchronize Interface.
5. Lassen Sie die Option Disable preempt deaktiviert, damit Preempt aktiv bleibt. Dies stellt sicher, dass, wenn eine einzelne Netzwerkverbindung (z.B. WAN-Verbindung vom Master-Firewall) ausfällt, alle IP-Adressen (WAN und LAN in diesem Beispiel) auf die zweite Firewall verschoben werden.
6. Geben Sie die Master-IP (z. B. 11.11.0.1) in das Feld Synchronize Peer IP ein.
7. Vermeiden Sie die Konfiguration der XMLRPC-Synchronisierung auf der sekundären Firewall.

7. Mehrere CARP-IP-Adressen hinzufügen (Optional)

Sie müssen sie in Ihre HA-Konfiguration aufnehmen, wenn Ihr Anbieter Ihnen ein Subnetz öffentlicher IP-Adressen zur Verfügung stellt und Sie diese für NAT oder andere Dienste, die auf Ihrer Firewall betrieben werden, freigeben möchten. Anstelle von der Hinzufügung einer VHID für jede IP, was den caRP-Verkehr erheblich verstärken würde, ist es möglich, ein zusätzliches IP-Alias hinzuzufügen und es mit der VHID zu kennzeichnen, die mit der ursprünglichen CARP-IP verbunden ist.

hinweis

Der IP-Alias ist nicht mit der Backup-Firewall synchronisiert; daher muss er auch auf der zweiten Maschine hinzugefügt werden.

8. Test

Sie können Ihre OPNsense-Hochverfügbarkeitskonfiguration testen, indem Sie die folgenden Schritte ausführen:

1. Fügen Sie auf dem Dashboard der Hauptfirewall das CARP-Widget hinzu, indem Sie auf + Widget klicken, CARP auswählen und dann auf Save Settings klicken.

   Abbildung 21. CARP- und Interfaces-Widgets auf dem Dashboard des Master-Knotens

2. Starten Sie beide Firewalls vor dem Test neu.

3. Navigieren Sie zu System → High availability → Status im OPNsense-Web-UI, um die erfolgreiche Initialisierung beider Geräte zu überprüfen.

   Abbildung 22. Anzeigen des HA-Status auf dem Master-Knoten

4. Schließen Sie einen Client an das lokale Netzwerk an und stellen Sie eine SSH-Verbindung zu einem Host her, der sich hinter beiden Firewalls befindet, um unsere Konfiguration zu validieren. An diesem Punkt sollten beide OPNsense-Firewalls dieselbe Verbindung im Abschnitt "States Dump" des Firewall-Konfigurationsmenüs (Firewall → Diagnostics) anzeigen.

5. Ziehen Sie den Netzstecker vom primären Firewall. Dies sollte die Verbindung zum Backup übertragen, ohne dass die SSH-Verbindung verloren geht oder einfriert.

Aktualisierung des HA-Cluster-Firewallsystems

Der Betrieb eines redundanten Active/Passive-Clusters führt zur Erwartung einer vollständigen Abwesenheit von Ausfällen. Um Unterbrechungen während der Ausführung von Updates zu minimieren, befolgen Sie einfach die folgenden Verfahren:

1. Starten Sie Ihre sekundäre Einheit neu, nachdem Sie das Update angewendet haben.

2. Navigieren Sie zu Interfaces → Virtual IPs → Status auf Ihrem primären Gerät und wählen Sie Enter Persistent CARP Maintenance Mode. Jetzt, da Ihre sekundäre Einheit MASTER ist, überprüfen Sie, ob alle Dienste, einschließlich DHCP, VPN und NAT, betriebsbereit sind.

3. Nachdem Sie überprüft haben, dass das Update erfolgreich war, fahren Sie fort, Ihre primäre Einheit zu aktualisieren und Persistent CARP Maintenance Modes zu deaktivieren.

   Abbildung 23. Anzeigen des VIP-Status auf dem Master-Knoten

Sie werden keine übermäßige Anzahl von Paketen verlieren, und Ihre aktuelle Verbindung wird übertragen. Außerdem beachten Sie, dass der persistente Modus auch nach einem Neustart aktiv bleibt.

Wie automatisiere ich die Replikation von HA OPNsense-Knoten?

Während es empfohlen wird, die Integrität der Backup-Firewall während der Wartung aufrechtzuerhalten, gibt es Personen, die lieber das Backup in regelmäßigen Abständen synchronisieren würden. In Anbetracht dessen hat OPNsense eine Cron-Aktion auf dem primären Firewall-Knoten, die manuell über System → Settings → Cron geplant werden kann.

Um die automatische Replikationsfunktionalität zu aktivieren, können Sie einen neuen Cron-Job erstellen, der den Befehl HA update and reconfigure backup enthält und entsprechend planen; außerhalb der Geschäftszeiten ist einmal täglich in der Regel eine sichere Wahl.

hinweis

Um das Update des aktiven Masters durch eine nicht betriebsbereite primäre Maschine zu verhindern, wird das HA update and reconfigure backup ausschließlich ausgeführt, wenn alle CARP-Schnittstellen auf den MASTER-Modus eingestellt sind.

Wie man den Status eines HA-Knotens anzeigt?

Sie können den Status der zuvor konfigurierten Backup-Firewall anzeigen, indem Sie zu System → High Availability → Status navigieren. Die Statusseite zeigt alle Dienste als betriebsbereit auf der Backup-Firewall an. Sie können die Backup-Maschine aktualisieren und die Dienste von dieser Seite aus wieder aufnehmen, falls erforderlich.

tipp

Sie können alle Dienste gleichzeitig neu starten und die Backup-Firewall aktualisieren, indem Sie die Aktualisierungstaste verwenden.

Sie können den Status Ihres HA-Clusters anzeigen, indem Sie zu Interfaces → Virtual IPs → Status navigieren.

Die Statusseite listet den aktiven Status jeder konfigurierten CARP-VHID-Gruppe auf. Zusätzlich enthält die Statusseite Optionen, um einen Knoten in den Wartungsmodus zu versetzen und CARP zu deaktivieren. Jeder VIP-Status wird im Folgenden ausführlich beschrieben.

• INIT: Dies bedeutet typischerweise ein Problem mit der Schnittstelle; häufig ist es das Ergebnis von nicht getrennten Schnittstellen oder anderen technischen Problemen.

• BACKUP: Im Fallback-Zustand überwacht diese Schnittstelle Anzeigen als Teil eines Clusters. Falls es vorübergehend von Werbung befreit wird, wird es in den Master-Modus übergehen.

• MASTER: Identifiziert den aktiven Knoten, während er das Netzwerk nach Anzeigen überwacht. Falls ein Knoten mit einer überlegenen Werbung erkannt wird, kann er in den Backup-Status übergehen (vorbehaltlich der Preempt-Einstellung, die über die Seite System → Hochverfügbarkeit → Einstellungen zugänglich ist).

• Deaktiviert: Deaktiviert, wenn die Option Temporarily Disable CARP auf dieser Seite ausgewählt ist.

  Abbildung 24. Anzeigen des VIP-Status auf dem Backup-Knoten

Was sind CARP und pfSync?

Bevor wir uns mit der HA-Konfiguration auf OPNsense befassen, werden wir umfassende Informationen zu den Begriffen bereitstellen, die mit der Einrichtung eines Clustersystems verbunden sind.

Was ist CARP?

Das Common Address Redundancy Protocol (CARP) ermöglicht das Teilen einer einzelnen IP-Adresse und Virtual Host ID (VHID) über mehrere Hosts hinweg, wodurch eine hohe Verfügbarkeit für einen oder mehrere Dienste gewährleistet wird. Dies impliziert, dass im Falle eines oder mehrerer Ausfälle von Hosts die verbleibenden Hosts nahtlos die Kontrolle übernehmen, sodass die Benutzer keine Unterbrechung des Dienstes erleben.

Jeder Host wird zusätzlich zur gemeinsamen IP-Adresse eine eindeutige IP-Adresse für Verwaltung und Konfiguration zugewiesen. Alle Computer, die eine IP-Adresse teilen, besitzen identische VHIDs. Jede virtuelle IP-Adresse im Broadcast-Domain der Netzwerkschnittstelle muss eine eindeutige virtuelle Host-ID haben. (VHID).

Das Common Address Redundancy Protocol (CARP) verwendet das IP-Protokoll 112, basiert auf OpenBSD und nutzt Multicast-Pakete, um seinen Status an benachbarte Geräte zu kommunizieren. Stellen Sie sicher, dass jede Schnittstelle in der Lage ist, CARP-Pakete zu empfangen. Jede virtuelle Schnittstelle muss eine eindeutige Virtual Host ID (vhid) besitzen, die über die physischen Computer hinweg geteilt wird. Der angegebene Versatz wird verwendet, um die physische Maschine mit höherer Priorität zu bestimmen. Eine Abnahme der Schiefe entspricht einer Erhöhung des Scores. (In diesem Tutorial nutzt unsere Master-Firewall 0).

tipp

Die virtuelle MAC-Adresse einer CARP-Schnittstelle ist 00:00:5e:00:01:XX, wobei ihr vhid die letzten beiden Ziffern ausfüllt.

tipp

CARP verwendet das IP-Protokoll 112 (0x70), um die Priorität bei der Übertragung von Anzeigen zu bestimmen; dies geschieht über 224.0.0.18 oder FF02::12.

Was ist pfSync?

pfsync ist ein Computerprotokoll, das zur Synchronisierung von Firewall-Zuständen über Computer verwendet wird, die Packet Filter (PF) ausführen, um hohe Verfügbarkeit zu erreichen. Es wird in Verbindung mit CARP verwendet, um sicherzustellen, dass eine Backup-Firewall identische Informationen wie die primäre Firewall beibehält. Im Falle eines Ausfalls des primären Systems im Firewall-Cluster ist die sekundäre Maschine in der Lage, laufende Verbindungen nahtlos ohne jeglichen Verlust zu übernehmen.

tipp

Es wird dringend empfohlen, eine dedizierte Schnittstelle für die Übertragung von pfSync-Paketen zwischen den Hosts zu verwenden, um sowohl die Sicherheit zu erhöhen (Zustandsinjektion zu verhindern) als auch die Geschwindigkeit zu verbessern.

tipp

vorsicht

Damit die Statusinformationen korrekt auf beide Firewalls angewendet werden können, ist es unerlässlich, dass sie identische Schnittstellennamen verwenden, um auf dieselben Netzwerke zuzugreifen. Zur Veranschaulichung: Wenn das interne Netzwerk (LAN) von Firewall 1 über die igb0-Schnittstelle verbunden ist, muss Firewall 2 ebenfalls igb0 dem LAN zuweisen. Zur Behebung kann LAGG konfiguriert werden, wenn zwei unterschiedliche Firewalls mit einzigartigen Schnittstellenidentitäten und Netzwerkgeräten vorhanden sind.

Was ist XMLRPC-Synchronisierung?

Eine Funktion von OPNsense, die XMLRPC-Synchronisation, stellt sicher, dass die Konfiguration des Backup-Servers mit der des Master-Servers übereinstimmt. Nach jeder Konfigurationsänderung werden die Einstellungen aus unterstützten Bereichen vom primären Knoten auf den sekundären Knoten kopiert und aktiviert, wenn die XMLRPC-Synchronisierung aktiviert ist. Die XMLRPC-Synchronisierung ist nicht erforderlich, aber sie erhöht den Aufwand zur Wartung eines Clusters erheblich.

Sie können auf die XMLRPC sync-Optionen zugreifen, indem Sie im OPNsense-Benutzerinterface zu System → High Availability → Settings navigieren.

Abbildung 25. XMLRPC-Synchronisierungsoptionen auf OPNsense HA