aktiven wireguard Tunnel zwischen HA master und backup umschalten

micneu

@nobanzai ist mir auch nichts bekannt
warum macht ihr das nicht ganz einfach über OpenVPN, das läuft gut und ist einfach einzurichten, und mit ordentlicher Hardware & DCO kommt man auch auf gute übertragungsraten

nobanzai

@micneu Sorry, ich will ja nicht unhöflich sein, aber wenn ich nach wireguard frage, hilft mir eine Empfehlung für eine andere Software nicht wirklich weiter. OpenVPN wird beim Gegenüber halt nicht supported.
Trotzdem danke!

micneu

@nobanzai was ist denn die Gegenstelle?
Ich gehe mal von aus da ein pfSense Cluster auf Seite A ist müsste doch auf Seite B eine Professionelle Firewall sein die mindestens IPSec oder OpenVPN beherrscht.

PS: Bitte gib mir mehr Informationen darüber, warum es auf WireGuard beschränkt ist und kein anderes VPN-Protokoll in Frage kommt. Das hilft zwar nicht direkt bei der Lösungsfindung, ist aber wichtig für mein Verständnis.

viragomann

@nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:

Sorry, ich will ja nicht unhöflich sein, aber wenn ich nach wireguard frage, hilft mir eine Empfehlung für eine andere Software nicht wirklich weiter.

Wenn du keine Antwort bekommst, hilft es dir auch nicht weiter. Und eine brauchbare Lösung scheint es für dein Problem nicht zu geben
Also brauchst du eine andere VPN Software.

Die Inkompatibilität mit HA war der Grund, weswegen auch ich Wireguard seinerzeit rasch wieder verworfen hatte.

IPSec dürfte auf nahezu jeden vernünftigen Router unterstützt werden, ist äußerst robust und bietet auf gleicher Hardware mehr Datendurchsatz als Wireguard. Warum wär das keine Option?

JeGr

@nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:

@micneu Sorry, ich will ja nicht unhöflich sein, aber wenn ich nach wireguard frage, hilft mir eine Empfehlung für eine andere Software nicht wirklich weiter. OpenVPN wird beim Gegenüber halt nicht supported.
Trotzdem danke!

Dann wäre im nächsten Schritt eben die Anforderung zu prüfen. Was muss denn laufen und was hat die Gegenseite? Wenn sie WG hat ist die Wahrscheinlichkeit hoch, dass sie auch IPsec kann. Selbst ne Fritzbox kann inzwischen beides. Und dann ist eben die Frage ob man statt dessen IPsec nutzt, weil Wireguard aus dem aktuellen Grund leider nicht in Frage kommt.

Das Problem kommt bei Wireguard schlicht aus der Tatsache, dass es KEINE IP-Bindung hat. Es reagiert schlicht auf alles mit dem eingestellten Port und gerade bei einem Cluster, bei dem du NUR auf dem Master arbeiten möchtest, ist das dann schwer umsetzbar.

Aktueller Workaround wäre hier tatsächlich nur die Möglichkeit, den eingehenden und ausgehenden Traffic auf die VIP auf dem WAN zu begrenzen. Selbst wenn der Service auf dem Standby Node läuft, könnte er so sich nicht ausgehend verbinden, weil der Node die VIP nicht hat.
Versuchen kann man das dann nur mit AUSgehenden Regeln auf dem Floating Interface. Das müsste in der Art laufen, dass Verbindungen nur von der VIP Adresse aus erlaubt sind. Also bspw. 192.0.2.4, .5 und .6 mit .6 als CARP VIP. Dann würde man ausgehend auf dem WAN Verbindungen von 192.0.2.4 und .5 ausgehend überallhin Port 51820 (Wireguard) oder was auch immer du konfiguriert hast rejecten. Damit darf der Clusternode selbst nicht mehr ausgehend reden. Wenn von extern (der anderen Seite) Traffic an die .6 ankommt, kann der Master darüber antworten, der Standby bekommt nichts und darf seinerseits nicht raus sprechen.

Das war zuletzt die Arbeitshypothese, dass man so das Clusterproblem zumindest theoretisch workarounden könnte. Ausprobieren konnten wir es leider noch nicht, aber eventuell komme ich die Tage mal dazu. Leider stressig und viel zu tun.

Cheers!

nobanzai

@micneu Die Gegenstele ist ein debian Server in unserem Verein. Da die Arbeit dort auf freiwilliger Basis stattfindet, ist da aus Zeitgründen nicht immer alles realisierbar, was technisch ginge.

nobanzai

@JeGr Danke für die Antwort, aber mach dir wegen meiner Frage keine Arbeit. Wenn der Tunnel läuft, läuft er, oder halt nicht. Das ist nur ein "nice to have" Feature, nichts wirklich Dringliches.
Ich hatte gehofft, irgendwer hätte das schonmal gemacht und könnte eine Antwort, ggf. in Form eines Scripts aus dem Ärmel schütteln.

nobanzai

@viragomann Danke für deine Antwort, aber siehe meine Replies auf die anderen Antworten.

viragomann

@nobanzai
Deine Argumentation verstehe ich nicht. Du möchtest eine VPN, wenn es leicht geht, möchtest nicht viel Zeit investieren, bist aber bereit dich mit Scripten rumzuschlagen, damit du Wireguard einsetzen kannst, eine VPN Lösung, die auf beiden Seiten erst mal installiert werden muss.

Eine CA mit Server- und Client-Zertifikaten für OpenVPN sind in zwei Minuten erstellt und der Rest der OpenVPN-Konfiguration ist auch nicht aufwendiger als Wireguard, meiner Meinung sogar simpler.

nobanzai

@viragomann Auf meiner Seite inverstiere ich soviel Zeit wie ich Lust habe, aber ich kann die Techniker im Verein nicht auch dazu verpflichten. Daher kann ich an Scripten hier für die pfSensen basteln, bis ich es fertig habe oder die Lust verliere :)

viragomann

@nobanzai
Verstehe. Ich war davon ausgegangen, dass du beide Seiten administrierst.

nobanzai

Generell wäre es aber trotzdem erst einmal interessant, ob es überhaupt Scriptingmöglichkeiten gibt.