Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    aktiven wireguard Tunnel zwischen HA master und backup umschalten

    Scheduled Pinned Locked Moved Deutsch
    17 Posts 4 Posters 284 Views 3 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JeGrJ Offline
      JeGr LAYER 8 Moderator @nobanzai
      last edited by

      @nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:

      @micneu Sorry, ich will ja nicht unhöflich sein, aber wenn ich nach wireguard frage, hilft mir eine Empfehlung für eine andere Software nicht wirklich weiter. OpenVPN wird beim Gegenüber halt nicht supported.
      Trotzdem danke!

      Dann wäre im nächsten Schritt eben die Anforderung zu prüfen. Was muss denn laufen und was hat die Gegenseite? Wenn sie WG hat ist die Wahrscheinlichkeit hoch, dass sie auch IPsec kann. Selbst ne Fritzbox kann inzwischen beides. Und dann ist eben die Frage ob man statt dessen IPsec nutzt, weil Wireguard aus dem aktuellen Grund leider nicht in Frage kommt.

      Das Problem kommt bei Wireguard schlicht aus der Tatsache, dass es KEINE IP-Bindung hat. Es reagiert schlicht auf alles mit dem eingestellten Port und gerade bei einem Cluster, bei dem du NUR auf dem Master arbeiten möchtest, ist das dann schwer umsetzbar.

      Aktueller Workaround wäre hier tatsächlich nur die Möglichkeit, den eingehenden und ausgehenden Traffic auf die VIP auf dem WAN zu begrenzen. Selbst wenn der Service auf dem Standby Node läuft, könnte er so sich nicht ausgehend verbinden, weil der Node die VIP nicht hat.
      Versuchen kann man das dann nur mit AUSgehenden Regeln auf dem Floating Interface. Das müsste in der Art laufen, dass Verbindungen nur von der VIP Adresse aus erlaubt sind. Also bspw. 192.0.2.4, .5 und .6 mit .6 als CARP VIP. Dann würde man ausgehend auf dem WAN Verbindungen von 192.0.2.4 und .5 ausgehend überallhin Port 51820 (Wireguard) oder was auch immer du konfiguriert hast rejecten. Damit darf der Clusternode selbst nicht mehr ausgehend reden. Wenn von extern (der anderen Seite) Traffic an die .6 ankommt, kann der Master darüber antworten, der Standby bekommt nichts und darf seinerseits nicht raus sprechen.

      Das war zuletzt die Arbeitshypothese, dass man so das Clusterproblem zumindest theoretisch workarounden könnte. Ausprobieren konnten wir es leider noch nicht, aber eventuell komme ich die Tage mal dazu. Leider stressig und viel zu tun.

      Cheers!

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      N 1 Reply Last reply Reply Quote 0
      • N Offline
        nobanzai @micneu
        last edited by

        @micneu Die Gegenstele ist ein debian Server in unserem Verein. Da die Arbeit dort auf freiwilliger Basis stattfindet, ist da aus Zeitgründen nicht immer alles realisierbar, was technisch ginge.

        1 Reply Last reply Reply Quote 0
        • N Offline
          nobanzai @JeGr
          last edited by

          @JeGr Danke für die Antwort, aber mach dir wegen meiner Frage keine Arbeit. Wenn der Tunnel läuft, läuft er, oder halt nicht. Das ist nur ein "nice to have" Feature, nichts wirklich Dringliches.
          Ich hatte gehofft, irgendwer hätte das schonmal gemacht und könnte eine Antwort, ggf. in Form eines Scripts aus dem Ärmel schütteln.

          1 Reply Last reply Reply Quote 0
          • N Offline
            nobanzai @viragomann
            last edited by

            @viragomann Danke für deine Antwort, aber siehe meine Replies auf die anderen Antworten.

            V 1 Reply Last reply Reply Quote 0
            • V Offline
              viragomann @nobanzai
              last edited by

              @nobanzai
              Deine Argumentation verstehe ich nicht. Du möchtest eine VPN, wenn es leicht geht, möchtest nicht viel Zeit investieren, bist aber bereit dich mit Scripten rumzuschlagen, damit du Wireguard einsetzen kannst, eine VPN Lösung, die auf beiden Seiten erst mal installiert werden muss.

              Eine CA mit Server- und Client-Zertifikaten für OpenVPN sind in zwei Minuten erstellt und der Rest der OpenVPN-Konfiguration ist auch nicht aufwendiger als Wireguard, meiner Meinung sogar simpler.

              N 1 Reply Last reply Reply Quote 1
              • N Offline
                nobanzai @viragomann
                last edited by

                @viragomann Auf meiner Seite inverstiere ich soviel Zeit wie ich Lust habe, aber ich kann die Techniker im Verein nicht auch dazu verpflichten. Daher kann ich an Scripten hier für die pfSensen basteln, bis ich es fertig habe oder die Lust verliere :)

                V 1 Reply Last reply Reply Quote 0
                • V Offline
                  viragomann @nobanzai
                  last edited by

                  @nobanzai
                  Verstehe. Ich war davon ausgegangen, dass du beide Seiten administrierst.

                  1 Reply Last reply Reply Quote 1
                  • N Offline
                    nobanzai
                    last edited by

                    Generell wäre es aber trotzdem erst einmal interessant, ob es überhaupt Scriptingmöglichkeiten gibt.

                    JeGrJ 1 Reply Last reply Reply Quote 0
                    • JeGrJ Offline
                      JeGr LAYER 8 Moderator @nobanzai
                      last edited by

                      @nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:

                      Generell wäre es aber trotzdem erst einmal interessant, ob es überhaupt Scriptingmöglichkeiten gibt.

                      Skripten kannst du auf der Konsole wie du willst. Sinnvoll wäre es aber wenn du schon custom Skripte schreibst, die dann so einzubauen, dass sie auch ne Neuinstallation überleben o.ä.

                      Was man sich durchaus vorstellen könnte wäre ein kleines Skript was lediglich checkt, ob die aktuelle FW auf der es läuft der Master oder nicht ist und wenn ja, nichts tut, wenn nein auf dem Standby dann wireguard beendet. Dann würde es zumindest nur auf dem Master laufen. Krude, aber würde funktionieren.

                      Ich würde wie gesagt aber eher versuchen, das erstmal mit "Reject Floating Regeln" einzudämmen, wenn es unbedingt Wireguard sein muss. Wenn OVPN auch ginge, wäre das sofort meine Wahl. Ansonsten eben IPsec, auch das wäre einfacher, als sich im Cluster dann mit WGs Zicken herumzuschlagen :)

                      Wenns aber WG sein muss, erstmal mit Regeln versuchen auf die VIP zu beschränken, dann sollte das Problem mit dem Standby eh gelöst sein, da der dann nicht kommunizieren dürfte.

                      Cheers

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      N 1 Reply Last reply Reply Quote 0
                      • N Offline
                        nobanzai @JeGr
                        last edited by nobanzai

                        @JeGr said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:

                        Skripten kannst du auf der Konsole wie du willst. Sinnvoll wäre es aber wenn du schon custom Skripte schreibst, die dann so einzubauen, dass sie auch ne Neuinstallation überleben o.ä.

                        Ja, das wäre schon wünschenswert.
                        Und ja, klar, man kann scripten mit den üblichen System-/Shell-Mitteln. Die Frage bezog sich eher darauf, ob es da hilfreiche Tools oder Libraries speziell von/für pfSense gibt.

                        Was man sich durchaus vorstellen könnte wäre ein kleines Skript was lediglich checkt, ob die aktuelle FW auf der es läuft der Master oder nicht ist und wenn ja, nichts tut, wenn nein auf dem Standby dann wireguard beendet. Dann würde es zumindest nur auf dem Master laufen. Krude, aber würde funktionieren.

                        Dazu müsste es ja aber wireguard auch wieder starten, wenn die Kiste zum Master wird.

                        Ich würde wie gesagt aber eher versuchen, das erstmal mit "Reject Floating Regeln" einzudämmen, wenn es unbedingt Wireguard sein muss. Wenn OVPN auch ginge, wäre das sofort meine Wahl. Ansonsten eben IPsec, auch das wäre einfacher, als sich im Cluster dann mit WGs Zicken herumzuschlagen :)

                        Wenns aber WG sein muss, erstmal mit Regeln versuchen auf die VIP zu beschränken, dann sollte das Problem mit dem Standby eh gelöst sein, da der dann nicht kommunizieren dürfte.

                        Wie beschränkt man das denn auf die VIP? Im Gegenstaz zu opnsense gibt es bei pfSense zumindest in den Einstellungen des Tunnels keine Möglichkeit, eine VIP anzugeben.

                        Cheers

                        Danke und ciao.
                        Michael.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.