Budget Dual WAN bypass
Hallo,
bevor Jemand fragt: Ja, es ist 05:30, ich habe eine Erkältung/Corona, habe mich gerade wach gehustet und will meine Frau nicht wecken...
Bei einer kleinen Firma gibt es zwei Fritz!Boxen die jeweils die IP 192.168.0.1 haben.
Keine VLANs. Nur 3 PCs und verschiedene Drucker mit festen IPs.
Es gibt ein rotes Kabel vom Switch was man in WAN1 oder in WAN2 (Keystone Kupplungen) stecken kann.
Damit kann man manuel das Netzwerk mit einer der beiden FBs verbinden.
Jetzt würde ich gerne eine kleine pfsense mit DSL-Modems installieren.
Aber ich darf die FBs nicht ändern, da die Firma früher damit schlechte Erfahrungen gemacht haben soll und ein manuelles Fallback möchte.
Also pfsense mit LAN=192.168.0.1, aber auch WAN1 und WAN2 mit 192.168.0.1.
Ich habe das noch nicht ausprobiert, aber eigentlich dürfte die pfsense das nicht hinbekommen können. Sie kann die Netzwerke ja nicht unterscheiden.
Ich könnte mit einem ProxMox 3 VMs mit pfsense erstellen.
VM1 WAN1 FB 192.168.0.1 -> LAN 10.0.1.1
VM2 WAN2 FB 192.168.0.1 -> LAN 10.0.2.1
VM3 VM1 WAN1 10.0.1.1 + VM2 WAN2 10.0.2.1 -> LAN 192.168.0.1
Also Tripple NAT.
Hat Jemand eine Idee wie das einfacher geht?
Wie gesagt, die beiden FBs kann ich nicht ändern und das LAN muss immer 192.168.0.0/24 sein.
Stefan
bevor Jemand fragt: Ja, es ist 05:30, ich habe eine Erkältung/Corona, habe mich gerade wach gehustet und will meine Frau nicht wecken...
Bei einer kleinen Firma gibt es zwei Fritz!Boxen die jeweils die IP 192.168.0.1 haben.
Keine VLANs. Nur 3 PCs und verschiedene Drucker mit festen IPs.
Es gibt ein rotes Kabel vom Switch was man in WAN1 oder in WAN2 (Keystone Kupplungen) stecken kann.
Damit kann man manuel das Netzwerk mit einer der beiden FBs verbinden.
Jetzt würde ich gerne eine kleine pfsense mit DSL-Modems installieren.
Aber ich darf die FBs nicht ändern, da die Firma früher damit schlechte Erfahrungen gemacht haben soll und ein manuelles Fallback möchte.
Also pfsense mit LAN=192.168.0.1, aber auch WAN1 und WAN2 mit 192.168.0.1.
Ich habe das noch nicht ausprobiert, aber eigentlich dürfte die pfsense das nicht hinbekommen können. Sie kann die Netzwerke ja nicht unterscheiden.
Ich könnte mit einem ProxMox 3 VMs mit pfsense erstellen.
VM1 WAN1 FB 192.168.0.1 -> LAN 10.0.1.1
VM2 WAN2 FB 192.168.0.1 -> LAN 10.0.2.1
VM3 VM1 WAN1 10.0.1.1 + VM2 WAN2 10.0.2.1 -> LAN 192.168.0.1
Also Tripple NAT.
Hat Jemand eine Idee wie das einfacher geht?
Wie gesagt, die beiden FBs kann ich nicht ändern und das LAN muss immer 192.168.0.0/24 sein.
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668864
Url: https://administrator.de/contentid/668864
Ausgedruckt am: 19.12.2024 um 09:12 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Gute Besserung Stefan,
Wenn man gar nichts ändern darf, kannst Du eigentlich nur verlieren.
Ist die pfsense der Wunsch des Kunden oder Deiner? Wenn es Deine Idee war, würde ich die Finger davon lassen. Wenn es der Wunsch des Kunden ist, würde ich ihn davon überzeugen, daß die Umstellung der Fritten auf verschedene der Netze und auf DHCP und der Clients auch auf DHCP eine sinnvolle Änderung wäre, die immer nich die Möglichkeit bietet das Kabel von der pfsense in eine der Fritzboxen umzustecken.
Ansonsten muß zwischen die Fritten und der pfsense jeweils ein gateway rein, das das 192.168.0.0/24 Netz der jeweiligen Fritte per 1:1 NAT zu der pfsense hin natted. Ob Du dann zwei verschiedene Netze zwischen pfsense und "nat-Router" nimmst oder alles auf ein Netz, ist dann egal. Bei nur einem Netz brauchst Du nur ein Interface auf der pfsense. Die Unterscheidung erfolgt durch die IP-Adresse.
lks
PS: Solche Kontruktionen haben wir bei einem ISP/Carrier von 25 Jahren schon gemacht, als Site-2-Site-VPNs in Mode kamen und es das erste Mal den Kunden auffiel, das gleiche IP-Bereiche in allen Standorten (meist deutlich mehr als 1000 Stationen) doch keine gute Idee waren.
Gute Besserung Stefan,
Wenn man gar nichts ändern darf, kannst Du eigentlich nur verlieren.
Ist die pfsense der Wunsch des Kunden oder Deiner? Wenn es Deine Idee war, würde ich die Finger davon lassen. Wenn es der Wunsch des Kunden ist, würde ich ihn davon überzeugen, daß die Umstellung der Fritten auf verschedene der Netze und auf DHCP und der Clients auch auf DHCP eine sinnvolle Änderung wäre, die immer nich die Möglichkeit bietet das Kabel von der pfsense in eine der Fritzboxen umzustecken.
Ansonsten muß zwischen die Fritten und der pfsense jeweils ein gateway rein, das das 192.168.0.0/24 Netz der jeweiligen Fritte per 1:1 NAT zu der pfsense hin natted. Ob Du dann zwei verschiedene Netze zwischen pfsense und "nat-Router" nimmst oder alles auf ein Netz, ist dann egal. Bei nur einem Netz brauchst Du nur ein Interface auf der pfsense. Die Unterscheidung erfolgt durch die IP-Adresse.
lks
PS: Solche Kontruktionen haben wir bei einem ISP/Carrier von 25 Jahren schon gemacht, als Site-2-Site-VPNs in Mode kamen und es das erste Mal den Kunden auffiel, das gleiche IP-Bereiche in allen Standorten (meist deutlich mehr als 1000 Stationen) doch keine gute Idee waren.
Was mir noch einfällt:
sind die Fritzboxen dauernd an DSL angesteckt und und quasi betriebsbereit durch umstecken des Netzwerkkabels? Dann dürfte es schwierig werden, da noch reine DSL-Modems dazuzuklemmen, weil Du sagtest Du willst die pfsense mit DSL-!odems betreiben willst.
Sind die DSL-Anschlüsse überhaupt bei verschiedenen Anbietern mit eigenen Leitungen? Ansonsten ist das mit der Ausfallsicherheit nämlich eine Illusion und nur Lastverteilung wäre sinnvoll. Dazu müßte/sollte man die Fritten aber auf jeden Fall umstellen.
Ich sehe da eigentlich keinen anderen Weg als mit dem Kunden zu reden und ihn mit sinnvollen Argumenten davon zu überzeugen, daß eine Änderung das sinnvollste wäre.
lks
sind die Fritzboxen dauernd an DSL angesteckt und und quasi betriebsbereit durch umstecken des Netzwerkkabels? Dann dürfte es schwierig werden, da noch reine DSL-Modems dazuzuklemmen, weil Du sagtest Du willst die pfsense mit DSL-!odems betreiben willst.
Sind die DSL-Anschlüsse überhaupt bei verschiedenen Anbietern mit eigenen Leitungen? Ansonsten ist das mit der Ausfallsicherheit nämlich eine Illusion und nur Lastverteilung wäre sinnvoll. Dazu müßte/sollte man die Fritten aber auf jeden Fall umstellen.
Ich sehe da eigentlich keinen anderen Weg als mit dem Kunden zu reden und ihn mit sinnvollen Argumenten davon zu überzeugen, daß eine Änderung das sinnvollste wäre.
lks
Also mit nem Mikrotik hätte ich das mittels VRF und zwei 30er subnets an den WANs gelöst, dann noch zwei Default Routes auf die WANs und ausgehendem SRCNAT und fertig ist der Lack.
https://help.mikrotik.com/docs/spaces/ROS/pages/328206/Virtual+Routing+a ...
https://help.mikrotik.com/docs/spaces/ROS/pages/328206/Virtual+Routing+a ...
Hi,
hab sowas ähnliches, aber 2x vesch. IPs. Alte Fritte als LTE Modem via Handy. Ostern viel DSL aus.....
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/949_LAN-Gastz ...
Ich mach mit der Fritte nicht viel. WLAN Gast ist ja klar. Wenn es über LAN auch so geht dürfte doch dieser IP Bereich reichen. Gast Isolation zum LAN der FB, wo aber ja eh nix an FB 2 angesteckt ist. Hab immer Draytek, OPNsense gehabt. Ich weiss die FB hat Gast Modus. Wenn keine Restriktionen da liegen und alles ins Internet geht wärst du hier schon fertig.
Proxmox ist schön. Wegen Fehlern und zickigen Kunden bei dir in der Firma oder zu Hause! Heisst: Testen. 2x GW aufbauen udn pfsense/OPNsense davor. Statt beim Kunden oder in Gedankenk zu fricken hast du das Ergebnis.
Materialschlacht: 3. Hardware Router. "Trasnfer-Netz". Die "große" Firewall hätte 2 separate WAN Netze vor sich. Eines geht in eine weiteren Router der dann zur FB läuft. Mehraufwand und Durchlauferhitzer mehr.
Kundenvertrauen: Wenn das Gast Dingens geht ihn verklickern dass wir eh nicht mit der Standard-IP arbeiten und man die ruhig ändern kann.
Hypervisor finde ich zum Testen und bestimmten Umgebungen gut. Hier hättest du wieder eine große Fehlerquelle mehr. 3. Router wäre da sogar noch pflegeleichter.
Bei VPN gehe gleiche Netze. WAN muss ich selber überlegen grad! Generell sind die Interfaces alle separat an OPNsense und pfsense dran gestöpselt. Ist ja kein Switch. Wenn die WAN IP an der Xsense anders ist sollte es über WAN A oder WAN B gehen.
Definiert man ein WAN_GW so taucht das auch bei der WAN Konfiguration als Auswahl bei OPNsense auf. Wenn du 2x GW mit gleicher IPs hast ist aber hier noch das Interface hinterlegt. Damit eigentlich getrennt.
Ich überlege gerade ob nicht dies schon reicht. Separate Port Config mit der gleichen IP. Via Gatway Settings differnziert auf Schnittstelle A oder B durch Angabe der Schnittstelle. Ab da geht es normal weiter....
hab sowas ähnliches, aber 2x vesch. IPs. Alte Fritte als LTE Modem via Handy. Ostern viel DSL aus.....
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/949_LAN-Gastz ...
Ich mach mit der Fritte nicht viel. WLAN Gast ist ja klar. Wenn es über LAN auch so geht dürfte doch dieser IP Bereich reichen. Gast Isolation zum LAN der FB, wo aber ja eh nix an FB 2 angesteckt ist. Hab immer Draytek, OPNsense gehabt. Ich weiss die FB hat Gast Modus. Wenn keine Restriktionen da liegen und alles ins Internet geht wärst du hier schon fertig.
Proxmox ist schön. Wegen Fehlern und zickigen Kunden bei dir in der Firma oder zu Hause! Heisst: Testen. 2x GW aufbauen udn pfsense/OPNsense davor. Statt beim Kunden oder in Gedankenk zu fricken hast du das Ergebnis.
Materialschlacht: 3. Hardware Router. "Trasnfer-Netz". Die "große" Firewall hätte 2 separate WAN Netze vor sich. Eines geht in eine weiteren Router der dann zur FB läuft. Mehraufwand und Durchlauferhitzer mehr.
Kundenvertrauen: Wenn das Gast Dingens geht ihn verklickern dass wir eh nicht mit der Standard-IP arbeiten und man die ruhig ändern kann.
Hypervisor finde ich zum Testen und bestimmten Umgebungen gut. Hier hättest du wieder eine große Fehlerquelle mehr. 3. Router wäre da sogar noch pflegeleichter.
Bei VPN gehe gleiche Netze. WAN muss ich selber überlegen grad! Generell sind die Interfaces alle separat an OPNsense und pfsense dran gestöpselt. Ist ja kein Switch. Wenn die WAN IP an der Xsense anders ist sollte es über WAN A oder WAN B gehen.
Definiert man ein WAN_GW so taucht das auch bei der WAN Konfiguration als Auswahl bei OPNsense auf. Wenn du 2x GW mit gleicher IPs hast ist aber hier noch das Interface hinterlegt. Damit eigentlich getrennt.
Ich überlege gerade ob nicht dies schon reicht. Separate Port Config mit der gleichen IP. Via Gatway Settings differnziert auf Schnittstelle A oder B durch Angabe der Schnittstelle. Ab da geht es normal weiter....
aber eigentlich dürfte die pfsense das nicht hinbekommen können.
Ausprobieren wäre schlicht sinnfrei. Keine Firewall oder Router der Welt würde das hinbekommen, da bei 3 gleichen IP Netzen ein Routing und damit eine eindeutige Wegefindung technisch völlig unmöglich ist. Solche simplen TCP/IP Basics kennst du als IT Profi ja aber auch selber ohne einen Forenthread. Einfache Lösung:
Ist wie oben schon gesagt ein pfiffiges Subnetting des bestehenden /24er Netzes...
Teile das 192.168.0.0 /24er Netz in ein /25er Subnetz mit Hostadressen von .0.1 bis .0.126
Die beiden WANs separierst du in 2mal /30 (oder /31) er Subnetze ganz am "oberen" Ende also .0.248 /30 und .0.252 /30. So hast du 2 Punkt zu Punkt Koppelnetze für die beiden Dual WAN Ports zu den 2 Fritzboxen und das bestehende LAN musst du addresstechnisch außer der Maske nicht anfassen und vermeidest die sehr fehlerträchtige NAT Frickelei die zudem weitere technische Nachteile mit sich bringt. Fertisch!
Den Rest des pfSense Dual WAN Setups kannst du u.a. HIER im Detail nachlesen.
Wie man die pfSense als VM mit einem einfachen VLAN Switch ins Netz intergriert z.B. HIER.
Zitat von @aqui:
Ausprobieren wäre schlicht sinnfrei. Keine Firewall oder Router der Welt würde das hinbekommen, da bei 3 gleichen IP Netzen ein Routing und damit eine eindeutige Wegefindung technisch völlig unmöglich ist.
Oha da hat einer noch nie mit VRF und Routing Tags gearbeitet .Ausprobieren wäre schlicht sinnfrei. Keine Firewall oder Router der Welt würde das hinbekommen, da bei 3 gleichen IP Netzen ein Routing und damit eine eindeutige Wegefindung technisch völlig unmöglich ist.
Das lüppt hier im Testlab problemlos :-P
ether1 = WAN1 zur Fritte1
ether2 = WAN2 zur Fritte2
ether3 = LAN
# add VRF interfaces
/ip vrf
add interfaces=ether1 name=vrfWAN1
add interfaces=ether2 name=vrfWAN2
# add ip addresses
/ip address
# WAN1
add address=192.168.0.2/30 interface=ether1 network=192.168.0.0
# WAN2
add address=192.168.0.2/30 interface=ether2 network=192.168.0.0
# LAN
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0
# masquerade out the WAN interfaces
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
/ip route
# add default routes to "main" table
add check-gateway=arp disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1@vrfWAN1 routing-table=main
add check-gateway=arp disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.0.1@vrfWAN2 routing-table=main
# add default routes on VRF tables
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.0.1@vrfWAN1 routing-table=vrfWAN1
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.0.1@vrfWAN2 routing-table=vrfWAN2
# add connected network to VRF Tables
add disabled=no dst-address=192.168.0.0/24 gateway=ether3 routing-table=vrfWAN1
add disabled=no dst-address=192.168.0.0/24 gateway=ether3 routing-table=vrfWAN2
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?