Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfsense HA an Telekom Glasfaser Anschluß

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 2 Posters 8.1k Views 2 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • chris1284C Online
      chris1284
      last edited by chris1284

      Hallo liebes Forum,

      ich betreibe eine pfsenseCE VM auf proxmox VE im 1.OG. Mein Internetanschluss ist ein TCom Glasfaser 300 mit einer IPv4/6 , PPoE/dhcp6

      Mein "HA" sieht aktuell so aus, dass ich bei Wartungen am Host einen spare PVE einschalte, ein Backup der pfsense-VM einspiele, boote und die Kabel LAN/WAN umstecke.

      Im Keller steht mein Haupt ProxmoxVE Server. Diese ist per Switch -> Powerlan -> Switch angebunden (hier gibt es keine Probleme, Neubau, Powerlan 100% stabil). Auf diesem würde ich gerne eine 2. VM aufsetzen und diese mit der VM im 1.OG als HA betreiben. Da ich 2 Managed Switches habe und genug Ports frei, wollte ich die CARP WAN und SYNC Geschichte per VLAN Regeln und mir so die Installation eines 3. Switches sparen und den 3. PVE Host im 1.OG. Ich denke das dürfte wie auf der Zeichnung funktionieren.

      Wo ich nach lesen des Wikis ( https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html ) nicht weiterweiß, sind die 2 WAN IPs. Ich kann keine 2 WAN IPs fest vergeben.

      Wie mach ich das mit meinem 1 IP DHCP Anschluss?
      Ist das Vorhaben über VLANS wie in der Zeichnung realisierbar? Die gestrichelten Linien sind nur "logische" Verbindungen, die physischen laufen über die Switches

      Danke und Grüße!

      fbfcca92-5fd9-431c-a546-3ebcbd85b041-image.png

      chris1284C JeGrJ 2 Replies Last reply Reply Quote 0
      • chris1284C Online
        chris1284 @chris1284
        last edited by

        Ich denke die Antwort nun hier im englischen Teil gefunden zu haben
        https://forum.netgate.com/topic/185693/ha-setup-with-multi-wan-and-dhcp-guide

        1 Reply Last reply Reply Quote 0
        • JeGrJ Offline
          JeGr LAYER 8 Moderator @chris1284
          last edited by

          @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß:

          ich betreibe eine pfsenseCE VM auf proxmox VE im 1.OG. Mein Internetanschluss ist ein TCom Glasfaser 300 mit einer IPv4/6 , PPoE/dhcp6

          Meinst du eine statische v4/v6? Oder einfach nur DualStack?

          Mein "HA" sieht aktuell so aus, dass ich bei Wartungen am Host einen spare PVE einschalte, ein Backup der pfsense-VM einspiele, boote und die Kabel LAN/WAN umstecke.

          Im Keller steht mein Haupt ProxmoxVE Server. Diese ist per Switch -> Powerlan -> Switch angebunden (hier gibt es keine Probleme, Neubau, Powerlan 100% stabil). Auf diesem würde ich gerne eine 2. VM aufsetzen und diese mit der VM im 1.OG als HA betreiben. Da ich 2 Managed Switches habe und genug Ports frei, wollte ich die CARP WAN und SYNC Geschichte per VLAN Regeln und mir so die Installation eines 3. Switches sparen und den 3. PVE Host im 1.OG. Ich denke das dürfte wie auf der Zeichnung funktionieren.

          Die Frage ist, ob es hier sinnvoller ist, die pfSense VM(!) als HA auszulegen oder einfach deinen Proxmox - von dem du ja anscheinend 2 hast? - nicht einfach so zu konfigurieren, dass du die VM Live migrieren kannst und damit einfach Redundanz über die Hypervisoren hast. Natürlich kann man eine zweite VM machen. Aber wenn du sauberes Backup der VM, Snapshotting via VM und Redundanz über die HV hast, wäre es eigentlich leichter, das in der Schicht darunter zu regeln, als die pfSense mit HA zu nutzen.

          Wo ich nach lesen des Wikis ( https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html ) nicht weiterweiß, sind die 2 WAN IPs. Ich kann keine 2 WAN IPs fest vergeben.

          Das kann man workarounden, ist aber genau ein Problem, weshalb ich obiges vorschlagen würde. Wenn du nicht mehrere IPs hast, ist es eigentlich sinnvoller, die Internetverbindung von einem Router/Gerät davor machen zu lassen und dann das HA-Pärchen dahinter mit einem Transfernetz im privaten Adressraum aufzusetzen.

          Wie mach ich das mit meinem 1 IP DHCP Anschluss?

          siehe oben.

          Ist das Vorhaben über VLANS wie in der Zeichnung realisierbar? Die gestrichelten Linien sind nur "logische" Verbindungen, die physischen laufen über die Switches

          Prinizipiell kannst du da viel/alles via VLAN hinbekommen. Aber den Internetanschluß nicht. Dein Problem ist dann, dass das HA dir an der Stelle NUR die Redundanz bringen würde, wenn dir der PVE wegbricht und die zweite VM dann übernimmt. ABER du hast kein sauberes Failover mit automatischem "es geht alles einfach weiter ohne Ausfall", sondern du hast einen definitiven STOP. Nämlich dann wenn VM1 down geht, VM2 übernimmt aber kein Internet hat und erst per PPPoE/DHCPv6 dann sich Internet holen muss. Heißt du hast auf jeden Fall einen Verbindungsabriß und dir bricht irgendwas zusammen (VPN, Verbindungen etc.)

          Wenn du den Weg gehst, die beiden HVs so zu bauen, dass die eine Live Migration der VM machen können, dann klappt das ggf. ganz ohne Ausfall, weil sich ja nichts an deiner Firewall ändert, außer dass die kurz den PVE wechselt. Aber die VM, die IPs etc., das ist alles gleich.

          Wenn du also nicht das Glasmodem durch einen Router davor austauschen/umkonfigurieren möchtest und nicht unbedingt 2 pfSense VMs mit CARP/HA bauen möchtest, würde ich hier eher sagen: Versuche Redundanz und HA via Proxmox zu erreichen, nicht über 2 VMs.

          Wenn du noch Fragen hast, gern :)

          Cheers!

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          chris1284C 1 Reply Last reply Reply Quote 0
          • chris1284C Online
            chris1284 @JeGr
            last edited by

            @JeGr said in pfsense HA an Telekom Glasfaser Anschluß:

            Meinst du eine statische v4/v6? Oder einfach nur DualStack?

            DualStack

            Die Frage ist, ob es hier sinnvoller ist, die pfSense VM(!) als HA auszulegen oder einfach deinen Proxmox - von dem du ja anscheinend 2 hast? - nicht einfach so zu konfigurieren, dass du die VM Live migrieren kannst und damit einfach Redundanz über die Hypervisoren hast. Natürlich kann man eine zweite VM machen. Aber wenn du sauberes Backup der VM, Snapshotting via VM und Redundanz über die HV hast, wäre es eigentlich leichter, das in der Schicht darunter zu regeln, als die pfSense mit HA zu nutzen.

            Proxmox HA vernünftig aufgesetzt sind 3 nodes minimum, da man mit 2 nodes bei Ausfall kein Quorum (Mehrheit) zustande kommt und der Cluster read only geht (also die vms laufen, aber man kann nicht migrieren oder neue starten). Das kann man jedoch händisch "arbeitsfähig bleiben" (expected 1), wenn 1 node down ist.

            Da ich meinen potenten Haupt-PVE-Server nicht in dein Cluster bringen will, auch nicht die beiden pfsense PVE ständig online, würde ich dann zu einem "degraded" cluster Betrieb tendieren. Bei bedarf fahre ich den 2. node hoch, migriere die VM, expect 1 setzen und fahre den 1. node runter/führe dort die Wartung durch. Danach alles zurück migrieren, node 2 wieder down

            Ein 3 Port WAN VLAN auf einem Switch und da dann Modem uplink, WAN Node 1 und WAN Node 2 dran. bei Life Migration dürfe dem Modem dann der Wechsel des nodes nicht auffallen (selbe Mac WAN pfsense)

            Das müsste gehen. Hub dazwischen wäre doch dann simpler?

            Wenn du also nicht das Glasmodem durch einen Router davor austauschen/umkonfigurieren möchtest

            Das Szenario hatte ich auch schon, dann läuft aber entweder ein Router statt dem Modem oder ein Modem, 1 Router, 2 PVE. Double NAT hat man so oder so, das wollte ich vermeiden. Der erste Router müsste dann ja auch auf "Durchzug" stehen und alles durchreichen.

            Wenn du noch Fragen hast, gern :)

            Cheers!

            Danke! Wenn mein Gedanke zum "downgraded" Proxmox Cluster mit 2 Nodes und VLAN für sauberen WAN switch bei Migration sauber funktioniert aus deiner Sicht, wäre das mein Weg, den ich teste.

            Danke sehr für deinen Input und den Denkanstoß

            Grüße!

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.