Firewalls und CARP...

Tobias

Member
Hallo Zusammen!

Ich beschäftige mich erst seit kurzem mit OpenBSD, bin nun in der glücklichen Lage die Firewalllandschaft meiner Firma endlich mal wieder auf den neusten Stand zu bekommen.
Und damit meine ich speziell die Hardware... ;)

Vielleicht kann mir jemand sagen ob in der Idee einen logischen Fehler gemacht habe.

Ich habe vier Standorte die einerseit via VPN miteinander sprechen und zusätzlich auch Webzugriff haben und weiter haben sollen.
Mit carp will ich Redundanz schaffen, und zwar nicht nur was die Hardware angeht sondern nach möglichkeit auch die Leitung.
Ich hab zur normalen 2mbit Strecke noch ein BusinessDSL mit fester IP für den ganzen Webtraffic.

Meine Idee war nun einerseits mit Carp die Firewalls redundant zu machen und nach einer Möglichkeit zu suchen wie ich auch beim Ausfall einer der beiden Leitungen mein Internet oder VPN über die jeweilig andere Leitung laufen lassen zu können.

Geht das überhaupt? Oder mache ich da einen Denkfehler?
Hat jemand hier im Forum vielleicht so ein Szenario schon mal eingerichtet?

Ich danke schon mal im voraus!

Viele Grüße,
der Tobi
 
crotchmaster said:
@Tomonage
Das hört sich ja sehr interessant an. Ist schon bekannt, ob das in die nächste Stable-Version übernommen wird?

Gruß c.

Momentan soll es noch nicht voll funktionsfaehig sein, aber soweit ich weiss, soll es zu 3.8 soweit sein.

Wegen Routing-failover, guck dir BGP (und somit openbgpd unter OpenBSD) an.
 
..wenn ja, dann hätte ich folgende idee:

jede openbsd-box hat (mind) zwei interfaces, jeweils eins mit/für carp ins interne lan, das andere in internet- bzw. wanrichtung. du konfigurierst auf den boxen für jeden standort jeweils ein vpn über die 2mbit, das andere über die wanleitung - und das machst du auf den beiden (vier - für den jeweils anderen standort) boxen jeweils identisch. eine box ist quasi der master, die andere der slave. mit pf kannst du traffic prima über unterschiedliche strecken rausschicken (route-to). mit ifstated überwachst du, ob z.b. deine 2mbit läuft und kannst dann die beiden carp-büchsen umswitchen, also master und slave tauschen.

lg uwe
 
...das hilft allerdings für einen automatismus nur, wenn die 2mbit ausfällt. falls ein interface in einer büchse kaputt geht, hilft das so erstmal nicht. da könntest du dir überlegen, ob du nicht mit zwei interfaces auf der wanseite arbeitest und diese auch jeweils in eine carpgruppe nimmst, eines quasi für die 2mbit, das andere für die dslstrecke. dann konfigurierst du wiederum die vpn's da drauf (auf beiden boxen identisch) über die jeweilige strecke. mit ifstated kannst du nun auch die links überwachen und dann entsprechend umswitchen.

lg uwe
 
Danke für die schnellen Antworten!

Klingt für meine Begriffe recht gut, die Idee mit der "Reserve" VPN Strecke hatte ich auch schon. War mir aber noch nicht sicher ob das auch klappt.

Auf jeden Fall hab ich jetzt wieder ne menge manpages zu lesen ;)
Wie gesagt, noch Newbie :p

Ich halte euch über den Vortlauf auf dem Laufenden. Die ein oder andere Frage wird sich bestimmt noch ergeben ;)

Ich hatte mal gelesen daß es sicherer ist das carp über eine eigene Netzwerverbindung via Crosscable zu verbinden. Ist da was dran?

Schon mal Danke und Grüße!
 
Tobias said:
Danke für die schnellen Antworten!

Ich hatte mal gelesen daß es sicherer ist das carp über eine eigene Netzwerverbindung via Crosscable zu verbinden. Ist da was dran?

Schon mal Danke und Grüße!

das solltest du auf alle fälle tun. macht auch anderweitig sinn, so z.b. als managementnetz oder wenn du ein zentrales syslog haben willst. für pfsync, so steht's geschrieben, sollte ebenfalls ein eigenes netz genommen werden. crossover wäre sicher ok.

ich würde bei den firewalls die console auf die serielle schnittstelle legen und sie über ein nullmodem mit der jeweils anderen verbinden. dann kommst du mit tip oder cu prima auf die console von der anderen kiste aus, auch wenn du mal eine kernelpanic hast oder das netz einer firewall nicht laufen sollte.
 
die gesamte lösung ist allerdings nicht transparent, da die clients bei ausfall einer leitung sicher einen ruckler im netz bemerken und die eine oder andere verbindung weg sein wird - je nachdem, wie lange das umschalten und der neuaufbau der tunnels dauern wird.
richtig klasse würde das wirklich mit sasyncd laufen - denn dann dürfte ein benutzer gar nix mitbekommen, wenn ein tunnel neu aufgebaut werden muß. wenn du allerdings die vpn's hinter den firewall platzierst, würde niemand was merken - aber du bräuchtest mehr rechner und könntest dann den traffic natürlich nicht auf den firewalls filtern.
falls du mit dem "ruckler" und den damit verbundenen verbindungsabbrüchen leben kannst, würde ich das mit den "backupvpn's" so machen und dann auf 3.8 updaten, wenn sasyncd in der base ist.
 
Back
Top