OPNsense-Firewall ausfallsicher betreiben

Die OPNsense-Funktionen "Multi-WAN" [1] und "High Availability" sorgen für eine höhere Verfügbarkeit der Internetanbindung. Multi-WAN ermöglicht dabei die parallele Nutzung von mehreren Internetverbindungen mit einer einzelnen OPNsense-Firewall [2]. Mittels sogenannter Monitoring-IP-Adressen überprüft OPNsense dabei die Verfügbarkeit und Qualität (Packet Loss, Latency) der einzelnen Verbindungen und schaltet anhand konfigurierter Schwellenwerte die Verbindung um.

Praktisch ist ein solches Szenario vor allem dann, wenn die Bandbreite einer LTE-Verbindung für den Zweck als Backupleitung ausreichend ist. Dient eine Glasfaserverbindung als Internetzugang für die Firma, besteht selten der Luxus, dass zwei voneinander unabhängige Kabeltrassen unterschiedlicher Internetdienstleister ins Haus führen. Daher konzentriert sich dieser Artikel darauf, wie sich die Firewall selbst ausfallsicher konfigurieren lässt.

Die zu erfüllenden Anforderungen an einen hoch­verfügbaren Firewall-Cluster sind bei OPNsense gering:

- Zwei Firewall-Rechner mit jeweils mindestens drei Netzwerk-Ports.

- WAN-Verbindung mit drei verfügbaren IP-Adressen: Jeweils eine fixe IP-Adresse für Firewall 1 und Firewall 2 sowie eine zusätzliche virtuelle IP-Adresse für den Firewall-Master.

- LAN-Netzwerk mit ebenso drei verfügbaren IP-Adressen: Wieder jeweils eine fixe sowie eine zusätzliche virtuelle IP-Adresse.

Bei einem OPNsense-HA-Cluster kommen zusätzlich zu den normalen Firewall-Funktionalitäten drei weitere Technologien zum Einsatz: CARP, pfsysnc und XMLRPC sync.

CARP (Common Address Redundancy Protocol) [3] dient als Protokoll zum Bereitstellen der (virtuellen) hochverfügbaren IP-Adressen. Egal welcher der beiden Firewallknoten gerade aktiv ist, die Clients im LAN gelangen dank CARP immer über dieselbe hochverfügbare Gateway-IP-Adresse ins Internet. CARP wurde ursprünglich von OpenBSD-Entwicklern als Alternative

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.