Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    aktiven wireguard Tunnel zwischen HA master und backup umschalten

    Scheduled Pinned Locked Moved Deutsch
    19 Posts 4 Posters 403 Views 3 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N Offline
      nobanzai @JeGr
      last edited by

      @JeGr Danke für die Antwort, aber mach dir wegen meiner Frage keine Arbeit. Wenn der Tunnel läuft, läuft er, oder halt nicht. Das ist nur ein "nice to have" Feature, nichts wirklich Dringliches.
      Ich hatte gehofft, irgendwer hätte das schonmal gemacht und könnte eine Antwort, ggf. in Form eines Scripts aus dem Ärmel schütteln.

      1 Reply Last reply Reply Quote 0
      • N Offline
        nobanzai @viragomann
        last edited by

        @viragomann Danke für deine Antwort, aber siehe meine Replies auf die anderen Antworten.

        V 1 Reply Last reply Reply Quote 0
        • V Offline
          viragomann @nobanzai
          last edited by

          @nobanzai
          Deine Argumentation verstehe ich nicht. Du möchtest eine VPN, wenn es leicht geht, möchtest nicht viel Zeit investieren, bist aber bereit dich mit Scripten rumzuschlagen, damit du Wireguard einsetzen kannst, eine VPN Lösung, die auf beiden Seiten erst mal installiert werden muss.

          Eine CA mit Server- und Client-Zertifikaten für OpenVPN sind in zwei Minuten erstellt und der Rest der OpenVPN-Konfiguration ist auch nicht aufwendiger als Wireguard, meiner Meinung sogar simpler.

          N 1 Reply Last reply Reply Quote 1
          • N Offline
            nobanzai @viragomann
            last edited by

            @viragomann Auf meiner Seite inverstiere ich soviel Zeit wie ich Lust habe, aber ich kann die Techniker im Verein nicht auch dazu verpflichten. Daher kann ich an Scripten hier für die pfSensen basteln, bis ich es fertig habe oder die Lust verliere :)

            V 1 Reply Last reply Reply Quote 0
            • V Offline
              viragomann @nobanzai
              last edited by

              @nobanzai
              Verstehe. Ich war davon ausgegangen, dass du beide Seiten administrierst.

              1 Reply Last reply Reply Quote 1
              • N Offline
                nobanzai
                last edited by

                Generell wäre es aber trotzdem erst einmal interessant, ob es überhaupt Scriptingmöglichkeiten gibt.

                JeGrJ 1 Reply Last reply Reply Quote 0
                • JeGrJ Offline
                  JeGr LAYER 8 Moderator @nobanzai
                  last edited by

                  @nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:

                  Generell wäre es aber trotzdem erst einmal interessant, ob es überhaupt Scriptingmöglichkeiten gibt.

                  Skripten kannst du auf der Konsole wie du willst. Sinnvoll wäre es aber wenn du schon custom Skripte schreibst, die dann so einzubauen, dass sie auch ne Neuinstallation überleben o.ä.

                  Was man sich durchaus vorstellen könnte wäre ein kleines Skript was lediglich checkt, ob die aktuelle FW auf der es läuft der Master oder nicht ist und wenn ja, nichts tut, wenn nein auf dem Standby dann wireguard beendet. Dann würde es zumindest nur auf dem Master laufen. Krude, aber würde funktionieren.

                  Ich würde wie gesagt aber eher versuchen, das erstmal mit "Reject Floating Regeln" einzudämmen, wenn es unbedingt Wireguard sein muss. Wenn OVPN auch ginge, wäre das sofort meine Wahl. Ansonsten eben IPsec, auch das wäre einfacher, als sich im Cluster dann mit WGs Zicken herumzuschlagen :)

                  Wenns aber WG sein muss, erstmal mit Regeln versuchen auf die VIP zu beschränken, dann sollte das Problem mit dem Standby eh gelöst sein, da der dann nicht kommunizieren dürfte.

                  Cheers

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  N 1 Reply Last reply Reply Quote 0
                  • N Offline
                    nobanzai @JeGr
                    last edited by nobanzai

                    @JeGr said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:

                    Skripten kannst du auf der Konsole wie du willst. Sinnvoll wäre es aber wenn du schon custom Skripte schreibst, die dann so einzubauen, dass sie auch ne Neuinstallation überleben o.ä.

                    Ja, das wäre schon wünschenswert.
                    Und ja, klar, man kann scripten mit den üblichen System-/Shell-Mitteln. Die Frage bezog sich eher darauf, ob es da hilfreiche Tools oder Libraries speziell von/für pfSense gibt.

                    Was man sich durchaus vorstellen könnte wäre ein kleines Skript was lediglich checkt, ob die aktuelle FW auf der es läuft der Master oder nicht ist und wenn ja, nichts tut, wenn nein auf dem Standby dann wireguard beendet. Dann würde es zumindest nur auf dem Master laufen. Krude, aber würde funktionieren.

                    Dazu müsste es ja aber wireguard auch wieder starten, wenn die Kiste zum Master wird.

                    Ich würde wie gesagt aber eher versuchen, das erstmal mit "Reject Floating Regeln" einzudämmen, wenn es unbedingt Wireguard sein muss. Wenn OVPN auch ginge, wäre das sofort meine Wahl. Ansonsten eben IPsec, auch das wäre einfacher, als sich im Cluster dann mit WGs Zicken herumzuschlagen :)

                    Wenns aber WG sein muss, erstmal mit Regeln versuchen auf die VIP zu beschränken, dann sollte das Problem mit dem Standby eh gelöst sein, da der dann nicht kommunizieren dürfte.

                    Wie beschränkt man das denn auf die VIP? Im Gegenstaz zu opnsense gibt es bei pfSense zumindest in den Einstellungen des Tunnels keine Möglichkeit, eine VIP anzugeben.

                    Cheers

                    Danke und ciao.
                    Michael.

                    JeGrJ N 2 Replies Last reply Reply Quote 0
                    • JeGrJ Offline
                      JeGr LAYER 8 Moderator @nobanzai
                      last edited by JeGr

                      Sorry für lange Antwortzeit, stecke gerade in Vorbereitung zum nächsten pfSense Workshop.

                      @nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:

                      Und ja, klar, man kann scripten mit den üblichen System-/Shell-Mitteln. Die Frage bezog sich eher darauf, ob es da hilfreiche Tools oder Libraries speziell von/für pfSense gibt.

                      Filer und Shellcmd als Pakete um das Scripting in Filer zu packen und Shellcmd ggf. um es automatisch beim Start vor- oder nachgelagert zu starten. Das ist auch Update-safe weil es in der config.xml gespeichert wird. Ansonsten gibts da keine große Doku zu scripting, da sich Netgate da auf Plus und die API (vermutlich) konzentriert und da auch enorm viel Zeit reingesteckt hat. Skriptisch kann man die API bspw. durchaus für etliche Operationen verwenden.

                      @nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:

                      Dazu müsste es ja aber wireguard auch wieder starten, wenn die Kiste zum Master wird.

                      Korrekt. Wenn man es aber bspw. in den "afterfilterchanges" hook einbinden würde, wäre das IMHO eh gegeben, da der automatisch bei einem Failover getriggert wird soweit ich mich erinnere.

                      @nobanzai said in aktiven wireguard Tunnel zwischen HA master und backup umschalten:

                      Wie beschränkt man das denn auf die VIP? Im Gegenstaz zu opnsense gibt es bei pfSense zumindest in den Einstellungen des Tunnels keine Möglichkeit, eine VIP anzugeben.

                      Da gibts auch bei OPNsense keine Einstellung zu weil Wireguard selbst das nicht kann/macht. Darum hatte ich ja oben mehrfach geschrieben, beschränke es mit Firewallregeln auf die VIP. Also eingehend nur Traffic auf VIP:51820 erlauben und ausgehend auch nur von der VIP ausgehend genehmigen. Wenn eingehend nur VIP erlaubt ist, sollten die Pakete auf der richtigen Kiste landen. Beim ausgehenden Verkehr kommts dann drauf an, dass man verbietet, dass die eigene Interface IP was antworten darf. Das geht nur mit ner entsprechend angepassten Floating Regel mit "out" auf dem WAN.

                      Cheers :)

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 1
                      • N Offline
                        nobanzai @nobanzai
                        last edited by

                        Danke für die Antwort. Aktuell komme ich zu nix, aber wenn wieder luft ist, werde ich mir das mal genauer anschauen mit den Filtern.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.