aktiven wireguard Tunnel zwischen HA master und backup umschalten
-
@nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:
Sorry, ich will ja nicht unhöflich sein, aber wenn ich nach wireguard frage, hilft mir eine Empfehlung für eine andere Software nicht wirklich weiter.
Wenn du keine Antwort bekommst, hilft es dir auch nicht weiter. Und eine brauchbare Lösung scheint es für dein Problem nicht zu geben
Also brauchst du eine andere VPN Software.Die Inkompatibilität mit HA war der Grund, weswegen auch ich Wireguard seinerzeit rasch wieder verworfen hatte.
IPSec dürfte auf nahezu jeden vernünftigen Router unterstützt werden, ist äußerst robust und bietet auf gleicher Hardware mehr Datendurchsatz als Wireguard. Warum wär das keine Option?
-
@nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:
@micneu Sorry, ich will ja nicht unhöflich sein, aber wenn ich nach wireguard frage, hilft mir eine Empfehlung für eine andere Software nicht wirklich weiter. OpenVPN wird beim Gegenüber halt nicht supported.
Trotzdem danke!Dann wäre im nächsten Schritt eben die Anforderung zu prüfen. Was muss denn laufen und was hat die Gegenseite? Wenn sie WG hat ist die Wahrscheinlichkeit hoch, dass sie auch IPsec kann. Selbst ne Fritzbox kann inzwischen beides. Und dann ist eben die Frage ob man statt dessen IPsec nutzt, weil Wireguard aus dem aktuellen Grund leider nicht in Frage kommt.
Das Problem kommt bei Wireguard schlicht aus der Tatsache, dass es KEINE IP-Bindung hat. Es reagiert schlicht auf alles mit dem eingestellten Port und gerade bei einem Cluster, bei dem du NUR auf dem Master arbeiten möchtest, ist das dann schwer umsetzbar.
Aktueller Workaround wäre hier tatsächlich nur die Möglichkeit, den eingehenden und ausgehenden Traffic auf die VIP auf dem WAN zu begrenzen. Selbst wenn der Service auf dem Standby Node läuft, könnte er so sich nicht ausgehend verbinden, weil der Node die VIP nicht hat.
Versuchen kann man das dann nur mit AUSgehenden Regeln auf dem Floating Interface. Das müsste in der Art laufen, dass Verbindungen nur von der VIP Adresse aus erlaubt sind. Also bspw. 192.0.2.4, .5 und .6 mit .6 als CARP VIP. Dann würde man ausgehend auf dem WAN Verbindungen von 192.0.2.4 und .5 ausgehend überallhin Port 51820 (Wireguard) oder was auch immer du konfiguriert hast rejecten. Damit darf der Clusternode selbst nicht mehr ausgehend reden. Wenn von extern (der anderen Seite) Traffic an die .6 ankommt, kann der Master darüber antworten, der Standby bekommt nichts und darf seinerseits nicht raus sprechen.Das war zuletzt die Arbeitshypothese, dass man so das Clusterproblem zumindest theoretisch workarounden könnte. Ausprobieren konnten wir es leider noch nicht, aber eventuell komme ich die Tage mal dazu. Leider stressig und viel zu tun.
Cheers!
-
@micneu Die Gegenstele ist ein debian Server in unserem Verein. Da die Arbeit dort auf freiwilliger Basis stattfindet, ist da aus Zeitgründen nicht immer alles realisierbar, was technisch ginge.
-
@JeGr Danke für die Antwort, aber mach dir wegen meiner Frage keine Arbeit. Wenn der Tunnel läuft, läuft er, oder halt nicht. Das ist nur ein "nice to have" Feature, nichts wirklich Dringliches.
Ich hatte gehofft, irgendwer hätte das schonmal gemacht und könnte eine Antwort, ggf. in Form eines Scripts aus dem Ärmel schütteln. -
@viragomann Danke für deine Antwort, aber siehe meine Replies auf die anderen Antworten.
-
@nobanzai
Deine Argumentation verstehe ich nicht. Du möchtest eine VPN, wenn es leicht geht, möchtest nicht viel Zeit investieren, bist aber bereit dich mit Scripten rumzuschlagen, damit du Wireguard einsetzen kannst, eine VPN Lösung, die auf beiden Seiten erst mal installiert werden muss.Eine CA mit Server- und Client-Zertifikaten für OpenVPN sind in zwei Minuten erstellt und der Rest der OpenVPN-Konfiguration ist auch nicht aufwendiger als Wireguard, meiner Meinung sogar simpler.
-
@viragomann Auf meiner Seite inverstiere ich soviel Zeit wie ich Lust habe, aber ich kann die Techniker im Verein nicht auch dazu verpflichten. Daher kann ich an Scripten hier für die pfSensen basteln, bis ich es fertig habe oder die Lust verliere :)
-
@nobanzai
Verstehe. Ich war davon ausgegangen, dass du beide Seiten administrierst. -
Generell wäre es aber trotzdem erst einmal interessant, ob es überhaupt Scriptingmöglichkeiten gibt.
-
@nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:
Generell wäre es aber trotzdem erst einmal interessant, ob es überhaupt Scriptingmöglichkeiten gibt.
Skripten kannst du auf der Konsole wie du willst. Sinnvoll wäre es aber wenn du schon custom Skripte schreibst, die dann so einzubauen, dass sie auch ne Neuinstallation überleben o.ä.
Was man sich durchaus vorstellen könnte wäre ein kleines Skript was lediglich checkt, ob die aktuelle FW auf der es läuft der Master oder nicht ist und wenn ja, nichts tut, wenn nein auf dem Standby dann wireguard beendet. Dann würde es zumindest nur auf dem Master laufen. Krude, aber würde funktionieren.
Ich würde wie gesagt aber eher versuchen, das erstmal mit "Reject Floating Regeln" einzudämmen, wenn es unbedingt Wireguard sein muss. Wenn OVPN auch ginge, wäre das sofort meine Wahl. Ansonsten eben IPsec, auch das wäre einfacher, als sich im Cluster dann mit WGs Zicken herumzuschlagen :)
Wenns aber WG sein muss, erstmal mit Regeln versuchen auf die VIP zu beschränken, dann sollte das Problem mit dem Standby eh gelöst sein, da der dann nicht kommunizieren dürfte.
Cheers
-
@JeGr said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:
Skripten kannst du auf der Konsole wie du willst. Sinnvoll wäre es aber wenn du schon custom Skripte schreibst, die dann so einzubauen, dass sie auch ne Neuinstallation überleben o.ä.
Ja, das wäre schon wünschenswert.
Und ja, klar, man kann scripten mit den üblichen System-/Shell-Mitteln. Die Frage bezog sich eher darauf, ob es da hilfreiche Tools oder Libraries speziell von/für pfSense gibt.Was man sich durchaus vorstellen könnte wäre ein kleines Skript was lediglich checkt, ob die aktuelle FW auf der es läuft der Master oder nicht ist und wenn ja, nichts tut, wenn nein auf dem Standby dann wireguard beendet. Dann würde es zumindest nur auf dem Master laufen. Krude, aber würde funktionieren.
Dazu müsste es ja aber wireguard auch wieder starten, wenn die Kiste zum Master wird.
Ich würde wie gesagt aber eher versuchen, das erstmal mit "Reject Floating Regeln" einzudämmen, wenn es unbedingt Wireguard sein muss. Wenn OVPN auch ginge, wäre das sofort meine Wahl. Ansonsten eben IPsec, auch das wäre einfacher, als sich im Cluster dann mit WGs Zicken herumzuschlagen :)
Wenns aber WG sein muss, erstmal mit Regeln versuchen auf die VIP zu beschränken, dann sollte das Problem mit dem Standby eh gelöst sein, da der dann nicht kommunizieren dürfte.
Wie beschränkt man das denn auf die VIP? Im Gegenstaz zu opnsense gibt es bei pfSense zumindest in den Einstellungen des Tunnels keine Möglichkeit, eine VIP anzugeben.
Cheers
Danke und ciao.
Michael.
