- Offizieller Beitrag
Kurzes posting da ich geschlagene 2 Tage dran saß ein Problem mit meinem HA setup auszuknobeln 
- 2 WAN Verbindungen (VDSL und Kabel) mit je einem Draytek Router (Fritzbox ist quasi Modem only).
- Die WAN Verbindung soll auf eine Virtuelle IP hinter der dann die aktive OPNSense FW repräsentiert (Active/standby via CARP).
Böses Internet
|
________________________________________________________________
| |
Draytek Router 1 192.168.88.1/24 Draytek Router 1 192.168.89.1/24
| DMZ |
VIP 192.168.88.5/24 VIP 192.168.89.5/24
| | | |
OPNS 1 192.168.88.2/24 OPNS 2 192.168.88.4/24 OPNS 1 192.168.89.2/24 OPNS 2 192.168.89.4/24
| | | |
------------------------------ VIP 192.168.1.5 -------------------------------
|
LAN (vertrauenswürdig)Problem war, dass meine DrayTek WAN Router einfach keine Pakete an meine OPnSense VIP (virtual IP) schicken wollten. ARP requests um die MAC zur IP zu finden wurden zwar beantwortet aber nie in den ARP cache eingetragen...
Diagnose mittel:
tcpdump -elt -nn -i <ID des betroffenen devices> arp host <WAN Router>Das ergibt dann so etwas:
00:1d:aa:70:09:08 > 00:00:5e:00:01:02, ethertype ARP (0x0806), length 60: Request who-has 192.168.88.5 (00:00:5e:00:01:02) tell 192.168.88.1, length 46
3c:ec:ef:25:a7:5b > 00:1d:aa:70:09:08, ethertype ARP (0x0806), length 42: Reply 192.168.88.5 is-at 00:00:5e:00:01:02, length 28Hier sieht man schon das die Quell MAC und die MAC an die der Router Pakete für IP 192.168.88.5 (VIP) schicken soll unterschiedlich sind
Das verwirft die Kiste dann auch erstmal weil könnte spoofing sein. Erst wenn man den entsprechenden Hake in der Config entfert:
FUnktioniert der Traffic - dann noch Declin VRRP... enthakt und die MAC wird auch im Cache eingetrage viola alles funktioniert wie gewünscht.