OPNsense-Firewall ausfallsicher betreiben

Perfektes Abbild

Unternehmen können in Zeiten von Cloud-IT und Onlinekommunikation einen Ausfall der Internetverbindung nur schwer verkraften. Damit es nicht so weit kommt, unterstützt die Open-Source-Firewall OPNsense sowohl Multi-WAN-Konfigurationen zur Einrichtung mehrerer paralleler WAN-Anbindungen als auch Hochverfügbarkeits-Cluster-Setups zum ausfallsicheren Betrieb der Firewall. Eine solche HA-Cluster-Konfiguration richten wir in diesem Workshop ein.
Kaum ein Monat vergeht, in dem keine Presseberichte von einem größeren Datenleck die Runde machen – zuletzt traf es den Mietwagenanbieter Buchbinder. Die ... (mehr)

Die OPNsense-Funktionen "Multi-WAN" [1] und "High Availability" sorgen für eine höhere Verfügbarkeit der Internetanbindung. Multi-WAN ermöglicht dabei die parallele Nutzung von mehreren Internetverbindungen mit einer einzelnen OPNsense-Firewall [2]. Mittels sogenannter Monitoring-IP-Adressen überprüft OPNsense dabei die Verfügbarkeit und Qualität (Packet Loss, Latency) der einzelnen Verbindungen und schaltet anhand konfigurierter Schwellenwerte die Verbindung um.

Praktisch ist ein solches Szenario vor allem dann, wenn die Bandbreite einer LTE-Verbindung für den Zweck als Backupleitung ausreichend ist. Dient eine Glasfaserverbindung als Internetzugang für die Firma, besteht selten der Luxus, dass zwei voneinander unabhängige Kabeltrassen unterschiedlicher Internetdienstleister ins Haus führen. Daher konzentriert sich dieser Artikel darauf, wie sich die Firewall selbst ausfallsicher konfigurieren lässt.

Die zu erfüllenden Anforderungen an einen hoch­verfügbaren Firewall-Cluster sind bei OPNsense gering:

- Zwei Firewall-Rechner mit jeweils mindestens drei Netzwerk-Ports.

- WAN-Verbindung mit drei verfügbaren IP-Adressen: Jeweils eine fixe IP-Adresse für Firewall 1 und Firewall 2 sowie eine zusätzliche virtuelle IP-Adresse für den Firewall-Master.

- LAN-Netzwerk mit ebenso drei verfügbaren IP-Adressen: Wieder jeweils eine fixe sowie eine zusätzliche virtuelle IP-Adresse.

Bei einem OPNsense-HA-Cluster kommen zusätzlich zu den normalen Firewall-Funktionalitäten drei weitere Technologien zum Einsatz: CARP, pfsysnc und XMLRPC sync.

CARP (Common Address Redundancy Protocol) [3] dient als Protokoll zum Bereitstellen der (virtuellen) hochverfügbaren IP-Adressen. Egal welcher der beiden Firewallknoten gerade aktiv ist, die Clients im LAN gelangen dank CARP immer über dieselbe hochverfügbare Gateway-IP-Adresse ins Internet. CARP wurde ursprünglich von OpenBSD-Entwicklern als Alternative

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020