Olá comunidade,
Tenho 2 nós OPNsense, configurados como mestre/backup.
Para o tráfego de gerenciamento de firewall, criei uma rede dedicada chamada “LAN_20”, que deve ser acessível via openVPN.
O openVPN, assim como a configuração mestre/backup (CARP), funciona perfeitamente (pelo menos não vejo problemas até agora). Mas encontrei o seguinte problema descrito aqui: https://github.com/pfsense/docs/blob/master/source/highavailability/troubleshooting-vpn-connectivity-to-a-high-availability-secondary-node.rst
Adotei os passos para OPNsense e configurei a regra NAT correspondente:
Alias “h_opensense_single_ip” contém os IPs de gerenciamento dos meus nós OPNsense, que estão na rede LAN_20.
Mas, infelizmente, não consigo me conectar ao nó secundário.
Será que perdi alguma coisa? ..
Ao alterar o status mestre/backup nos nós, consigo conectar ao nó secundário, mas então o nó mestre anterior fica indisponível. Então deve ser um problema de NAT/roteamento ..
Alguma ideia? 
deve ser um pebcak …
Verifique o endereço de origem da sua regra NAT. No nosso caso, acho que a rede OpenVPN seria uma sub-rede /30 para o link ponto a ponto, não todas as sub-redes roteadas através desse link.
Usamos um alias chamado RFC1918 que contém 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16 para o endereço de origem em uma regra semelhante. Funciona muito bem.
Acho que conheço essa situação… seu secundário não tem gateway/rota de volta ao túnel VPN. O que acabei fazendo foi criar um gateway no secundário para o IP não-VIP (o IP que não se move entre os firewalls) do meu primário. Depois, defini esse gateway com prioridade menor na WAN, assim, quando o secundário estiver ativo, ele usará a WAN.
Captura de tela
Dito isso, parece um hack para mim e estou curioso se outros têm maneiras melhores.
Olá u/jasonpcrowley
tu está 100% certo 
Desculpe, não tive tempo de testar isso antes.
Depois de alterar a rede OpenVPN para a rede de túnel real, tudo funciona bem … que armadilha ..
Achei que o NAT faria toda a mágica necessária…
o tráfego VPN de entrada entrará na rede lan20 através da interface lan20. Se o destino for um IP dos firewalls, o NAT mudará a origem para a interface lan20 correspondente do firewall … Os pacotes então devem saber o caminho correto .. estou errado?
Fico feliz que funcione. HA com OPNsense é um pouco difícil de acertar, mas uma vez configurado, é incrível. É bom poder aplicar atualizações de firmware do firewall remotamente via VPN. Ninguém sequer percebe uma interrupção. Ainda não estou ousado o suficiente para tentar isso no meio do dia, mas provavelmente funcionaria bem.
Você está NATeando? Se você pingar o FW2 pela VPN, uma captura de pacote mostra um IP LAN chegando na interface correta do FW2?
E você está certo, no meu caso, não estou fazendo NAT.
Oi, sem NAT, eu sou o pai.
