staging.inyokaproject.org

Ist es denkbar, möglich und sinnvoll, mehr als ein Gateway in den Netzwerkeinstellungen einzutragen?

Warum ich das machen will?

Ich habe meine Firewall ausgetauscht (OPNsense als VM gegen eine Appliance), möchte aber die alte Firewall weiterlaufen lassen bzw. aktuell halten, um sie im Notfall als Fallback verwenden zu können. Hierzu wäre es aus meiner Sicht schön, wenn ich die Adresse der neuen aber auch der alten Firewall im Netplan eintragen könnte - nach dem Motto: Falls die Appliance nicht läuft, gehe ich einfach mit der VM ans Netz, und alles rennt weiter. Momentan müsste ich ja auf jeden Server gehen und dort den Netplan ändern.

Falls das nicht geht oder total hirnrissig ist, das so zu machen, was wäre die Alternative?
Ich könnte mir vorstellen, alle IPs per DHCP zu vergeben und die "festen IPs" dann eben per Reservierung - ich bin aber gerade nicht sicher, ob das mit meinem letzten verbliebenen Windows-Server (ist leider auch noch ein DC) dann nicht wieder Probleme macht...

Das wird bei SPI-Firewalls prinzipbedingt nicht funktionieren, weil die eine von den Sessions der anderen nix weiß und Traffic einer Session über beide Routen rausgehen kann und wird.

Ich persönlich würde es anders lösen, du setzt eine OPNsense ein, also solltest du auch wissen das du diese in einem Cluster einsetzen kannst, schau die doch einfach mal die Dokumentation an, da ist alles beschrieben

Nein, das weiß ich leider nicht (könnte ich aber natürlich nachlesen), aber ich denke nicht, dass mir das hilft:

Da ich am Netz der Telekom hänge, kann sowieso maximal einer der beiden OPNsenses online sein, es macht also keinen Sinn, wenn ein Client es mal hier und mal dort versucht.
Es geht mir wirklich nur um den Fall, dass die Appliance einmal schlappmacht (Hardware kann ja manchmal kaputt gehen 😎 ) und dass ich dann schnell wieder online sein will. Dazu würde ich dann die VM starten, das Kabel vom DSL-Modem aus der Appliance ziehen und in die VM stöpseln - und dann sollte es im Idealfall wieder laufen...
... wird es aber aktuell nicht tun, weil alle Netzwerkclients ja nach der IP der Appliance suchen.

(Eine andere Möglichkeit wäre, dass die VM und die Appliance die selbe lokale IP verwenden - aber da habe ich irgendwie eine "Scheu" vor. Oder wäre das in Wahrheit der Königsweg?)

Mit einem Firewall Cluster hat meinen eine Aktive/Passiv Setup. Es wird eine VirtualIP genommen als Gateway, was halt immer auf die Aktuell Aktive Firewall zutrifft, am besten mal die Dokumentation lesen, da ist alles beschrieben. Wir setzen sowas bei uns im Office & RZ mit pfSense.

Das andere wird so nicht laufen

Na, dann muss ich da mal nachlesen. Danke.

... aber dennoch die Frage: Warum "wird es nicht funktionieren"?

Kann ich im Netplan nicht zwei Gateways angeben (so wie ich auch zwei DNS-Server angebe)?

Im Notfall lies dir die Dokumentation zu Netplan durch, da könnte was mit Routing-Metriken möglich sein

• Es kann technisch nur ein Gateway als echter “Default” aktiv sein

PS: Ich denke du wirst mit dem Setup, was du umsetzen willst, dir noch andere Probleme reinholen

Nee, das stimmt schon. Wenn es technisch auf Seite des Clients nur ein "Default-Gateway" geben kann/darf/soll, dann funktioniert mein Ansatz nicht. Ich hatte eben nur angenommen, dass es wie bei DNS-Servern sein könnte, à la "nach einem Timeout nutze ich das zweite Gateway".

Was den Cluster angeht, habe ich gestern mal in mein Büchlein zur OPNsense geguckt, und das scheint ja überschaubar kompliziert. Allerdings hat mein Zyxel-DSL-Modem nur einen RJ45-Port, so dass ich dann zwischen die "beiden" OPNsenses (Appliance und VM) einen Switch packen müsste... was ich eigentlich gern vermeiden wollte.

Deshalb haben wir bei uns vom RZ ein 29er Netz bekommen, mit DSL uist es finde ich komplizierter

Klar, besser ist immer besser. Aber ich habe nur eine Mini-Firma, und da ist alles andere als ein DSL-Anschluss zu viel (und dann wohl auch zu teuer).

Emma2 schrieb:

Ist es denkbar, möglich und sinnvoll, mehr als ein Gateway in den Netzwerkeinstellungen einzutragen?

Kurze Antwort: Nein.

Etwas ausführlicher: Man kann in den Verbindungsprofilen für NetworkManager nur ein Gateway einrichten, wenn man unter Gateway ein Tor zum universellen Internet versteht. Man kann aber zusätzlich dedizierte Routen konfigurieren.

Man kann auch für unterschiedliche Verbindungen unterschiedliche Gateway festlegen. Beim Ausfall eines Gateways kann man die Verbindung trennen und auf eine andere Verbindung mit einem anderen Gateway umschalten.

Was man mit NetworkManager nicht problemlos machen kann, ist der zeitgleiche Betrieb von mehr als einem Gateway. Der zeitgleiche Betrieb mehrerer Gateway erfordert Methoden des "Advanced Routing" und Festlegen von Regeln (ip rule), in welcher Situation welches Gateway benutzt werden soll. Das ist nur etwas für weit fortgeschrittene Fachleute.

kB schrieb:

Emma2 schrieb:

Ist es denkbar, möglich und sinnvoll, mehr als ein Gateway in den Netzwerkeinstellungen einzutragen?

Kurze Antwort: Nein.

Danke für die Erläuterung.

kB schrieb:

Das ist nur etwas für weit fortgeschrittene Fachleute.

Das bin ich nicht und muss das auf diesem Gebiet auch nicht werden. Meine Idee zielte ja gerade darauf ab, eine "einfache" Fallback-Lösung zu haben.

Ich werde jetzt wohl erst einmal die Appliance laufen lassen (die wird ja nicht sofort kaputtgehen, und wenn doch muss ich eben einmal auf die Clients und das Gateway ändern) und werde dann "demnächst" mal die Cluster-Lösung angehen.

Danke für Eure Tipps und Erklärungen!