Zu Zeiten von Cloud und Co. stellen sich immer mehr Unternehmen die Frage, was passiert, wenn die Firewall einmal ausfallen sollte. Kein Problem, die Lösung ist mittels OPNsene einfach: Ein HA-Cluster muss her. Und der ist bereits bei OPNsense enthalten. Das ist toll, die Firewall ist verfügbar. Oder auch nicht sollte die Internetleitung ausfallen. Aber auch hier: OPNsense kann Multi-WAN, kann also mehrere Internetleitungen verwalten. Nur was ist, wenn man auf dieser Grundlage zu einem entfernten Ziel nicht nur einen, sondern zwei VPN-Tunnel öffnen möchte? Also wenn Tunnel 1 über Leitung 1 ausfällt, dann wechsle automatisch auf den Backup-Tunnel 2 auf Leitung 2.
Dieses Szenario kann man inzwischen regelmäßig finden. Oftmals lautet die Lösung für dieses Problem, dass sich im Falle eines Ausfalls ein Admin auf die Firewall verbindet und den Tunnel auf der ausgefallenen Leitung 1 manuell deaktiviert und den bereits konfigurierten, aber inaktiven, Backup-Tunnel auf Leitung 2 aktiviert. Und sobald die Leitung 1 wieder da ist das gleiche Spiel nochmals. Nur andersherum.
Doch wozu? OPNsense bringt für solche Szenarien alles mit, um automatisch den VPN-Tunnel schwenken zu lassen. Alles, was man tun muss, ist unter System/Firmware/Plugins das Plugin os-frr installieren.
Zwischen Firewall und VPN erscheint nun im Menü der Punkt Routing. Und hier ist alles enthalten, was man für die Lösung dieses Problems benötigt: Routing Protokolle wie zum Beispiel RIP, OSPF und BGP.
Routing Protokolle helfen auf Routern alle verfügbaren Wege zum Ziel zu finden und den Besten als aktiven Weg zu verwenden. Und im Falle eines Ausfalls wird die Route ins Ziel automatisch auf die jetzt beste Alternative geschwenkt.
Oder konkret für unser Beispiel zum Textanfang: Mittels BGP wählt eine OPNsense Firewall automatisch immer den Besten IpSec Tunnel aus. Und im Falle eins Aufalls schwenkt es automatisch auf den Backup-Tunnel. Und zurück, sobald die Leitung wieder verfügbar ist.
Und dies war nur ein einfaches Beispiel, welches zeigen soll, wie man so etwas mit OPNsense lösen kann. Die Verfügbarkeit von Routing Protokollen eröffnen beinahe ungeahnte Möglichkeiten mit der die Firewall automatisch immer den Besten Weg zum Ziel findet. Auch dann, wenn gerade mal kein Admin erreichbar ist, welcher von Hand auf die Backupleitung schwenkt.
Quellen zu Bildern von Dritten
- Beitragsbild: Pixabay https://pixabay.com/photos/two-way-road-direction-junction-6367854/