Budget Dual WAN bypass
Hallo,
bevor Jemand fragt: Ja, es ist 05:30, ich habe eine Erkältung/Corona, habe mich gerade wach gehustet und will meine Frau nicht wecken...
Bei einer kleinen Firma gibt es zwei Fritz!Boxen die jeweils die IP 192.168.0.1 haben.
Keine VLANs. Nur 3 PCs und verschiedene Drucker mit festen IPs.
Es gibt ein rotes Kabel vom Switch was man in WAN1 oder in WAN2 (Keystone Kupplungen) stecken kann.
Damit kann man manuel das Netzwerk mit einer der beiden FBs verbinden.
Jetzt würde ich gerne eine kleine pfsense mit DSL-Modems installieren.
Aber ich darf die FBs nicht ändern, da die Firma früher damit schlechte Erfahrungen gemacht haben soll und ein manuelles Fallback möchte.
Also pfsense mit LAN=192.168.0.1, aber auch WAN1 und WAN2 mit 192.168.0.1.
Ich habe das noch nicht ausprobiert, aber eigentlich dürfte die pfsense das nicht hinbekommen können. Sie kann die Netzwerke ja nicht unterscheiden.
Ich könnte mit einem ProxMox 3 VMs mit pfsense erstellen.
VM1 WAN1 FB 192.168.0.1 -> LAN 10.0.1.1
VM2 WAN2 FB 192.168.0.1 -> LAN 10.0.2.1
VM3 VM1 WAN1 10.0.1.1 + VM2 WAN2 10.0.2.1 -> LAN 192.168.0.1
Also Tripple NAT.
Hat Jemand eine Idee wie das einfacher geht?
Wie gesagt, die beiden FBs kann ich nicht ändern und das LAN muss immer 192.168.0.0/24 sein.
Stefan
bevor Jemand fragt: Ja, es ist 05:30, ich habe eine Erkältung/Corona, habe mich gerade wach gehustet und will meine Frau nicht wecken...
Bei einer kleinen Firma gibt es zwei Fritz!Boxen die jeweils die IP 192.168.0.1 haben.
Keine VLANs. Nur 3 PCs und verschiedene Drucker mit festen IPs.
Es gibt ein rotes Kabel vom Switch was man in WAN1 oder in WAN2 (Keystone Kupplungen) stecken kann.
Damit kann man manuel das Netzwerk mit einer der beiden FBs verbinden.
Jetzt würde ich gerne eine kleine pfsense mit DSL-Modems installieren.
Aber ich darf die FBs nicht ändern, da die Firma früher damit schlechte Erfahrungen gemacht haben soll und ein manuelles Fallback möchte.
Also pfsense mit LAN=192.168.0.1, aber auch WAN1 und WAN2 mit 192.168.0.1.
Ich habe das noch nicht ausprobiert, aber eigentlich dürfte die pfsense das nicht hinbekommen können. Sie kann die Netzwerke ja nicht unterscheiden.
Ich könnte mit einem ProxMox 3 VMs mit pfsense erstellen.
VM1 WAN1 FB 192.168.0.1 -> LAN 10.0.1.1
VM2 WAN2 FB 192.168.0.1 -> LAN 10.0.2.1
VM3 VM1 WAN1 10.0.1.1 + VM2 WAN2 10.0.2.1 -> LAN 192.168.0.1
Also Tripple NAT.
Hat Jemand eine Idee wie das einfacher geht?
Wie gesagt, die beiden FBs kann ich nicht ändern und das LAN muss immer 192.168.0.0/24 sein.
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668864
Url: https://administrator.de/contentid/668864
Ausgedruckt am: 19.10.2024 um 09:10 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Gute Besserung Stefan,
Wenn man gar nichts ändern darf, kannst Du eigentlich nur verlieren.
Ist die pfsense der Wunsch des Kunden oder Deiner? Wenn es Deine Idee war, würde ich die Finger davon lassen. Wenn es der Wunsch des Kunden ist, würde ich ihn davon überzeugen, daß die Umstellung der Fritten auf verschedene der Netze und auf DHCP und der Clients auch auf DHCP eine sinnvolle Änderung wäre, die immer nich die Möglichkeit bietet das Kabel von der pfsense in eine der Fritzboxen umzustecken.
Ansonsten muß zwischen die Fritten und der pfsense jeweils ein gateway rein, das das 192.168.0.0/24 Netz der jeweiligen Fritte per 1:1 NAT zu der pfsense hin natted. Ob Du dann zwei verschiedene Netze zwischen pfsense und "nat-Router" nimmst oder alles auf ein Netz, ist dann egal. Bei nur einem Netz brauchst Du nur ein Interface auf der pfsense. Die Unterscheidung erfolgt durch die IP-Adresse.
lks
PS: Solche Kontruktionen haben wir bei einem ISP/Carrier von 25 Jahren schon gemacht, als Site-2-Site-VPNs in Mode kamen und es das erste Mal den Kunden auffiel, das gleiche IP-Bereiche in allen Standorten (meist deutlich mehr als 1000 Stationen) doch keine gute Idee waren.
Gute Besserung Stefan,
Wenn man gar nichts ändern darf, kannst Du eigentlich nur verlieren.
Ist die pfsense der Wunsch des Kunden oder Deiner? Wenn es Deine Idee war, würde ich die Finger davon lassen. Wenn es der Wunsch des Kunden ist, würde ich ihn davon überzeugen, daß die Umstellung der Fritten auf verschedene der Netze und auf DHCP und der Clients auch auf DHCP eine sinnvolle Änderung wäre, die immer nich die Möglichkeit bietet das Kabel von der pfsense in eine der Fritzboxen umzustecken.
Ansonsten muß zwischen die Fritten und der pfsense jeweils ein gateway rein, das das 192.168.0.0/24 Netz der jeweiligen Fritte per 1:1 NAT zu der pfsense hin natted. Ob Du dann zwei verschiedene Netze zwischen pfsense und "nat-Router" nimmst oder alles auf ein Netz, ist dann egal. Bei nur einem Netz brauchst Du nur ein Interface auf der pfsense. Die Unterscheidung erfolgt durch die IP-Adresse.
lks
PS: Solche Kontruktionen haben wir bei einem ISP/Carrier von 25 Jahren schon gemacht, als Site-2-Site-VPNs in Mode kamen und es das erste Mal den Kunden auffiel, das gleiche IP-Bereiche in allen Standorten (meist deutlich mehr als 1000 Stationen) doch keine gute Idee waren.
Was mir noch einfällt:
sind die Fritzboxen dauernd an DSL angesteckt und und quasi betriebsbereit durch umstecken des Netzwerkkabels? Dann dürfte es schwierig werden, da noch reine DSL-Modems dazuzuklemmen, weil Du sagtest Du willst die pfsense mit DSL-!odems betreiben willst.
Sind die DSL-Anschlüsse überhaupt bei verschiedenen Anbietern mit eigenen Leitungen? Ansonsten ist das mit der Ausfallsicherheit nämlich eine Illusion und nur Lastverteilung wäre sinnvoll. Dazu müßte/sollte man die Fritten aber auf jeden Fall umstellen.
Ich sehe da eigentlich keinen anderen Weg als mit dem Kunden zu reden und ihn mit sinnvollen Argumenten davon zu überzeugen, daß eine Änderung das sinnvollste wäre.
lks
sind die Fritzboxen dauernd an DSL angesteckt und und quasi betriebsbereit durch umstecken des Netzwerkkabels? Dann dürfte es schwierig werden, da noch reine DSL-Modems dazuzuklemmen, weil Du sagtest Du willst die pfsense mit DSL-!odems betreiben willst.
Sind die DSL-Anschlüsse überhaupt bei verschiedenen Anbietern mit eigenen Leitungen? Ansonsten ist das mit der Ausfallsicherheit nämlich eine Illusion und nur Lastverteilung wäre sinnvoll. Dazu müßte/sollte man die Fritten aber auf jeden Fall umstellen.
Ich sehe da eigentlich keinen anderen Weg als mit dem Kunden zu reden und ihn mit sinnvollen Argumenten davon zu überzeugen, daß eine Änderung das sinnvollste wäre.
lks
Also mit nem Mikrotik hätte ich das mittels VRF und zwei 30er subnets an den WANs gelöst, dann noch zwei Default Routes auf die WANs und ausgehendem SRCNAT und fertig ist der Lack.
https://help.mikrotik.com/docs/spaces/ROS/pages/328206/Virtual+Routing+a ...
https://help.mikrotik.com/docs/spaces/ROS/pages/328206/Virtual+Routing+a ...
Hi,
hab sowas ähnliches, aber 2x vesch. IPs. Alte Fritte als LTE Modem via Handy. Ostern viel DSL aus.....
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/949_LAN-Gastz ...
Ich mach mit der Fritte nicht viel. WLAN Gast ist ja klar. Wenn es über LAN auch so geht dürfte doch dieser IP Bereich reichen. Gast Isolation zum LAN der FB, wo aber ja eh nix an FB 2 angesteckt ist. Hab immer Draytek, OPNsense gehabt. Ich weiss die FB hat Gast Modus. Wenn keine Restriktionen da liegen und alles ins Internet geht wärst du hier schon fertig.
Proxmox ist schön. Wegen Fehlern und zickigen Kunden bei dir in der Firma oder zu Hause! Heisst: Testen. 2x GW aufbauen udn pfsense/OPNsense davor. Statt beim Kunden oder in Gedankenk zu fricken hast du das Ergebnis.
Materialschlacht: 3. Hardware Router. "Trasnfer-Netz". Die "große" Firewall hätte 2 separate WAN Netze vor sich. Eines geht in eine weiteren Router der dann zur FB läuft. Mehraufwand und Durchlauferhitzer mehr.
Kundenvertrauen: Wenn das Gast Dingens geht ihn verklickern dass wir eh nicht mit der Standard-IP arbeiten und man die ruhig ändern kann.
Hypervisor finde ich zum Testen und bestimmten Umgebungen gut. Hier hättest du wieder eine große Fehlerquelle mehr. 3. Router wäre da sogar noch pflegeleichter.
Bei VPN gehe gleiche Netze. WAN muss ich selber überlegen grad! Generell sind die Interfaces alle separat an OPNsense und pfsense dran gestöpselt. Ist ja kein Switch. Wenn die WAN IP an der Xsense anders ist sollte es über WAN A oder WAN B gehen.
Definiert man ein WAN_GW so taucht das auch bei der WAN Konfiguration als Auswahl bei OPNsense auf. Wenn du 2x GW mit gleicher IPs hast ist aber hier noch das Interface hinterlegt. Damit eigentlich getrennt.
Ich überlege gerade ob nicht dies schon reicht. Separate Port Config mit der gleichen IP. Via Gatway Settings differnziert auf Schnittstelle A oder B durch Angabe der Schnittstelle. Ab da geht es normal weiter....
hab sowas ähnliches, aber 2x vesch. IPs. Alte Fritte als LTE Modem via Handy. Ostern viel DSL aus.....
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/949_LAN-Gastz ...
Ich mach mit der Fritte nicht viel. WLAN Gast ist ja klar. Wenn es über LAN auch so geht dürfte doch dieser IP Bereich reichen. Gast Isolation zum LAN der FB, wo aber ja eh nix an FB 2 angesteckt ist. Hab immer Draytek, OPNsense gehabt. Ich weiss die FB hat Gast Modus. Wenn keine Restriktionen da liegen und alles ins Internet geht wärst du hier schon fertig.
Proxmox ist schön. Wegen Fehlern und zickigen Kunden bei dir in der Firma oder zu Hause! Heisst: Testen. 2x GW aufbauen udn pfsense/OPNsense davor. Statt beim Kunden oder in Gedankenk zu fricken hast du das Ergebnis.
Materialschlacht: 3. Hardware Router. "Trasnfer-Netz". Die "große" Firewall hätte 2 separate WAN Netze vor sich. Eines geht in eine weiteren Router der dann zur FB läuft. Mehraufwand und Durchlauferhitzer mehr.
Kundenvertrauen: Wenn das Gast Dingens geht ihn verklickern dass wir eh nicht mit der Standard-IP arbeiten und man die ruhig ändern kann.
Hypervisor finde ich zum Testen und bestimmten Umgebungen gut. Hier hättest du wieder eine große Fehlerquelle mehr. 3. Router wäre da sogar noch pflegeleichter.
Bei VPN gehe gleiche Netze. WAN muss ich selber überlegen grad! Generell sind die Interfaces alle separat an OPNsense und pfsense dran gestöpselt. Ist ja kein Switch. Wenn die WAN IP an der Xsense anders ist sollte es über WAN A oder WAN B gehen.
Definiert man ein WAN_GW so taucht das auch bei der WAN Konfiguration als Auswahl bei OPNsense auf. Wenn du 2x GW mit gleicher IPs hast ist aber hier noch das Interface hinterlegt. Damit eigentlich getrennt.
Ich überlege gerade ob nicht dies schon reicht. Separate Port Config mit der gleichen IP. Via Gatway Settings differnziert auf Schnittstelle A oder B durch Angabe der Schnittstelle. Ab da geht es normal weiter....