14
Failover Multi-WAN auf pfSense einrichten
Hallo zusammen,
ich habe eine pfSense mit dem noch alten Versionsstand 2.2-RELEASE (amd64) und an dieser sind zwei WAN interfaces verbunden. Das eine ist ein Glasfaseranschluss an ISP1 und das andere ein Kabelanschluss an ISP2. Es sind also zwei verschiedene Leitungen ins Internet vorhanden. Den Glasfaseranschluss von ISP1 wird für alle kritischen Internetdienste genutzt und ISP2 hauptsächlich fürs Internet-Surfen und weniger wichtige Sachen.
ISP2 hat häufiger Ausfälle, technisch bedingt durch den Provider. Dann hängt das Internet durch die Paketverluste oder minutenlang kann man eben nicht mehr im Internet surfen. Diesen Punkt möchte ich gerne verbessern, indem ich Failover auf der pfSense einrichten möchte.
Das Ziel soll sein:
alle kritischen Dienste sollen fix und statisch weiterhin und immer über ISP1 abgewickelt werden. Hier möchte ich absolut nichts verändern ganz gemäß dem Motto treu "never-touch-a-running-system" Selbst falls ISP1 down gehen sollte (was aber aus Erfahrung bisher nie passiert ist, da bussiness Tarif und sehr stabile Leitung).
wenn ISP2 down ist bzw. Paketverluste auftreten, dann soll ISP1 mitgenutzt werden für den Alltags-Surf-traffic damit die Nutzer weiterhin Internetseiten öffnen können.
Soweit ich die Doku richtig verstanden habe, sollte ich hier keine "caveats" erwarten. Was ich brauche ist "FailOver" und das mache ich über ein Gateway group, ist das richtig?
Ich klicke auf System --> Routing --> Groups --> + um eine neue Gruppe zu erstellen. Als "Group Name" wähle ich "myGroupA". In der Liste sehe ich unter anderem meine zwei WAN gateways der zwei ISP. In den jeweiligen Zeilen kann ich in einem Dropdown Menü [TIER] die Möglichkeiten Tier1-5 auswählen und im Dropdwon-Menp [Virtual IP] ist in allen Fällen keine Auswahl möglich, denn dort steht "Interface address" schon drin.
Ich verstehe das TIER nicht richtig, welche Werte müsste ich denn hier auswählen, um mein Ziel zu erreichen? Als trigger level habe ich "packet loss or high latency" ausgewählt.
Kann mir hier jemand behilflich sein?
ich habe eine pfSense mit dem noch alten Versionsstand 2.2-RELEASE (amd64) und an dieser sind zwei WAN interfaces verbunden. Das eine ist ein Glasfaseranschluss an ISP1 und das andere ein Kabelanschluss an ISP2. Es sind also zwei verschiedene Leitungen ins Internet vorhanden. Den Glasfaseranschluss von ISP1 wird für alle kritischen Internetdienste genutzt und ISP2 hauptsächlich fürs Internet-Surfen und weniger wichtige Sachen.
ISP2 hat häufiger Ausfälle, technisch bedingt durch den Provider. Dann hängt das Internet durch die Paketverluste oder minutenlang kann man eben nicht mehr im Internet surfen. Diesen Punkt möchte ich gerne verbessern, indem ich Failover auf der pfSense einrichten möchte.
Das Ziel soll sein:
alle kritischen Dienste sollen fix und statisch weiterhin und immer über ISP1 abgewickelt werden. Hier möchte ich absolut nichts verändern ganz gemäß dem Motto treu "never-touch-a-running-system" Selbst falls ISP1 down gehen sollte (was aber aus Erfahrung bisher nie passiert ist, da bussiness Tarif und sehr stabile Leitung).
wenn ISP2 down ist bzw. Paketverluste auftreten, dann soll ISP1 mitgenutzt werden für den Alltags-Surf-traffic damit die Nutzer weiterhin Internetseiten öffnen können.
Soweit ich die Doku richtig verstanden habe, sollte ich hier keine "caveats" erwarten. Was ich brauche ist "FailOver" und das mache ich über ein Gateway group, ist das richtig?
Ich klicke auf System --> Routing --> Groups --> + um eine neue Gruppe zu erstellen. Als "Group Name" wähle ich "myGroupA". In der Liste sehe ich unter anderem meine zwei WAN gateways der zwei ISP. In den jeweiligen Zeilen kann ich in einem Dropdown Menü [TIER] die Möglichkeiten Tier1-5 auswählen und im Dropdwon-Menp [Virtual IP] ist in allen Fällen keine Auswahl möglich, denn dort steht "Interface address" schon drin.
Ich verstehe das TIER nicht richtig, welche Werte müsste ich denn hier auswählen, um mein Ziel zu erreichen? Als trigger level habe ich "packet loss or high latency" ausgewählt.
Kann mir hier jemand behilflich sein?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 625627
Url: https://administrator.de/contentid/625627
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
14 Kommentare
Neuester Kommentar
Moin,
https://docs.netgate.com/pfsense/en/latest/multiwan/load-balance-and-fai ...
Je nachdem was du willst. Steht dort beschrieben.
Grüße
https://docs.netgate.com/pfsense/en/latest/multiwan/load-balance-and-fai ...
Je nachdem was du willst. Steht dort beschrieben.
Grüße
1
Oder hier noch detailierter in Deutsch... 
https://www.heise.de/select/ct/2016/24/1479992026108405
https://techexpert.tips/de/pfsense-de/pfsense-mehrfach-wan-link-lastenau ...
https://www.heise.de/select/ct/2016/24/1479992026108405
https://techexpert.tips/de/pfsense-de/pfsense-mehrfach-wan-link-lastenau ...
1
danke für die Links. @aqui: der erste Link auf heise.de ist nicht lesbar für nicht C't Abonennten. Ich zahle sicherlich kein Geld um einen Artikel durchlesen zu können. Den zweiten Link lese ich mir jetzt durch. Ich habe bisher die Anleitung von netgate durchgelesen, aber irgendwie hab ich ein Verständnisproblem und hoffe ihr könnt mir weiterhelfen.
die Gateway-Gruppe habe ich unter [System] --> [Routing] --> [Groups] erstellt mit den entsprechenden Tiers, also Prioritäten. Meine neu erstellte Gruppe habe ich einfach "failoverGW" genannt.
In dieser Anleitung wird empfohlen, dass man auch den DNS resolver anpassen sollte.
Wenn ich aber bei mir auf Services-->DNSresolver klicke dann sehe ich keine Möglichkeit als gateway meine Gruppe auszuwählen. Ich habe in diesem Konfigurationsbereich des DNS-resolver lediglich zwei Fenster. Das erste heißt "Network interfaces" und steht auf ALL. Hier wird ja geregelt, auf welchem interface gelauscht werden soll, um auf Client-Anfragen zu reagieren und diese zu verarbeiten. Im zweiten Fenster ist der Abschnitt "Outgoing Networt Interfaces" und das steht defaultmäßig ebenfalls auf ALL. Hier hätte ich eigentlich meine neu erstellte Gateway-Gruppe erwartet, die steht aber nicht drin. Ich finde hier lediglich all meine interfaces, also auch die simplen WAN1 und WAN2. Auch unter dem button [Advanced] finde ich keine Möglichkeit dem DNS-resolver beizubringen, dass er statt DEFAULT gateway nun die Gruppe "failoverGW" nutzen sollte.
Dasselbe Spielchen auch für den zweiten empfohlenen Punkt. Unter [System] --> [General Setup] habe ich zwei public DNS server in die Liste eingetragen. Rechts daneben gibt es für den jeweiligen Eintrag auch die Möglichkeit "Use Gateway" zu verwenden. Defaultmäßig steht hier "none" drin. Wenn ich die Liste anschaue, dann könnte ich hier auch nur meine "echten" physischen interfaces gateways" aussuchen. Die Gruppe "failoverGW" ist auch hier nicht aufgeführt.
Wie soll ich denn das machen?
ebenso finde ich keine Möglichkeit, das default gateway auf "failoverGW" umzustellen. Auf der von aqui verlinkten hier gezeigten Anleitung wird im screenshot gezeigt, wie das anscheinend auszusehen hat:
allerdings bin ich noch auf 2.2-RELEASE und vermutlich geht das bei diesem Versionsstand gar nicht? das würde bedeuten, dass ich auf auf meiner jetzigen 2.2-RELEASE Version kein Multi-WAN bzw. FailOver wie beabsichtigt betreiben könnte. (Info: Upgrade steht aus, das ist eine andere Thematik. Aktuell muss ich hier auf dieser Maschine auf 2.2 bleiben Es wird eine parallele neue Hardware aufgebaut, das jedoch erst ab kommendem Jahr).
die Gateway-Gruppe habe ich unter [System] --> [Routing] --> [Groups] erstellt mit den entsprechenden Tiers, also Prioritäten. Meine neu erstellte Gruppe habe ich einfach "failoverGW" genannt.
In dieser Anleitung wird empfohlen, dass man auch den DNS resolver anpassen sollte.
Configure the DNS Resolver or Forwarder for Multi-WAN, starting by:
Use a failover gateway group for the default gaetway (DNS Resolver in default resolver mode)
Set at least one unique DNS server for each WAN gateway under System > General Setup with a gateway set (DNS Resolver in forwarding mode or DNS Forwarder)
Use a failover gateway group for the default gaetway (DNS Resolver in default resolver mode)
Set at least one unique DNS server for each WAN gateway under System > General Setup with a gateway set (DNS Resolver in forwarding mode or DNS Forwarder)
Wenn ich aber bei mir auf Services-->DNSresolver klicke dann sehe ich keine Möglichkeit als gateway meine Gruppe auszuwählen. Ich habe in diesem Konfigurationsbereich des DNS-resolver lediglich zwei Fenster. Das erste heißt "Network interfaces" und steht auf ALL. Hier wird ja geregelt, auf welchem interface gelauscht werden soll, um auf Client-Anfragen zu reagieren und diese zu verarbeiten. Im zweiten Fenster ist der Abschnitt "Outgoing Networt Interfaces" und das steht defaultmäßig ebenfalls auf ALL. Hier hätte ich eigentlich meine neu erstellte Gateway-Gruppe erwartet, die steht aber nicht drin. Ich finde hier lediglich all meine interfaces, also auch die simplen WAN1 und WAN2. Auch unter dem button [Advanced] finde ich keine Möglichkeit dem DNS-resolver beizubringen, dass er statt DEFAULT gateway nun die Gruppe "failoverGW" nutzen sollte.
Dasselbe Spielchen auch für den zweiten empfohlenen Punkt. Unter [System] --> [General Setup] habe ich zwei public DNS server in die Liste eingetragen. Rechts daneben gibt es für den jeweiligen Eintrag auch die Möglichkeit "Use Gateway" zu verwenden. Defaultmäßig steht hier "none" drin. Wenn ich die Liste anschaue, dann könnte ich hier auch nur meine "echten" physischen interfaces gateways" aussuchen. Die Gruppe "failoverGW" ist auch hier nicht aufgeführt.
Wie soll ich denn das machen?
ebenso finde ich keine Möglichkeit, das default gateway auf "failoverGW" umzustellen. Auf der von aqui verlinkten hier gezeigten Anleitung wird im screenshot gezeigt, wie das anscheinend auszusehen hat:
allerdings bin ich noch auf 2.2-RELEASE und vermutlich geht das bei diesem Versionsstand gar nicht? das würde bedeuten, dass ich auf auf meiner jetzigen 2.2-RELEASE Version kein Multi-WAN bzw. FailOver wie beabsichtigt betreiben könnte. (Info: Upgrade steht aus, das ist eine andere Thematik. Aktuell muss ich hier auf dieser Maschine auf 2.2 bleiben Es wird eine parallele neue Hardware aufgebaut, das jedoch erst ab kommendem Jahr).
Was ist denn bei dir bei Gateway Groups?
??
Bei dem GUI...welche uralt Steinzeit Firmware betreibst du auf der pfSense ? Da ist wohl ein Update längst überfällig...
hä? Ich wollte wissen was du da eingetragen hast. Was soll ich mit dem Bild anfangen?
@aqui: dazu habe ich doch geschrieben, siehe oben
@Xaero1982: wie genau meine gwgroup definiert ist, spielt ja erstmal keine Rolle für das genannte Problem. Aber hier trotzdem die Antwort:
Group Name: failoverGW
Gateway priority:
Gateway=WAN1; Tier=Tier1; Virtual IP = interface address; description=meine inet-Leitung1
Gateway=WAN2; Tier=Tier2; Virtual IP = interface address; description=meine inet-Leitung2
Trigger Level = Member Down
Description = nur failover für WAN
@Xaero1982: wie genau meine gwgroup definiert ist, spielt ja erstmal keine Rolle für das genannte Problem. Aber hier trotzdem die Antwort:
Group Name: failoverGW
Gateway priority:
Gateway=WAN1; Tier=Tier1; Virtual IP = interface address; description=meine inet-Leitung1
Gateway=WAN2; Tier=Tier2; Virtual IP = interface address; description=meine inet-Leitung2
Trigger Level = Member Down
Description = nur failover für WAN
Du bittest um Hilfe und wenn man dich was fragt wirst du pampig. Dann frage ich dich nach den elemantarsten Einstellungen für dein Problem und du sagst, dass das keine Rolle spielt?
Geht bei mir ohne Probleme. Gerade eine PFSense hochgezogen. Zwei Interfaces eingerichtet. GW Group eingerichtet und kann diese problemlos als DefaultGW auswählen.
Ansonsten wirf doch mal bitte einen Blick in die Anleitung. Du hast ja schon was verlinkt. Auch die Folgeseiten beachten, denn du unterliegst hier offenbar einem Missverständnis bzgl. des DNS. Da wird nicht die Gruppe gewählt, sondern das spezifische GW für den jeweiligen DNS. Ist ja auch logisch im Grunde.
Das was du beschreibst gibt es so übrigens nicht in der aktuellen Version.
Geht bei mir ohne Probleme. Gerade eine PFSense hochgezogen. Zwei Interfaces eingerichtet. GW Group eingerichtet und kann diese problemlos als DefaultGW auswählen.
Ansonsten wirf doch mal bitte einen Blick in die Anleitung. Du hast ja schon was verlinkt. Auch die Folgeseiten beachten, denn du unterliegst hier offenbar einem Missverständnis bzgl. des DNS. Da wird nicht die Gruppe gewählt, sondern das spezifische GW für den jeweiligen DNS. Ist ja auch logisch im Grunde.
Das was du beschreibst gibt es so übrigens nicht in der aktuellen Version.
ähm, du hast da was falsch verstanden. Ich bin nicht pampig, ich verwies lediglich auf das ursprüngliche Problem. Schliesslich habe ich doch die geforderten Infos gepostet. Exakt aus diesem Grund habe ich mich mit meiner Frage hier ans Forum gewendet. Besserwisserei und beleidigte Leberwurst spielen bringt keinen weiter.
Erkläre mir bitte was in den Einstellungen der gateway group falsch einzustellen wäre, das exakt zu dem geschilderten Problem der "Nicht-Auswählbarkeit" in anderen Menübereichen führt. Wenn das ein bug wäre, dann müsste das irgendwo dokumentiert sein. Wenn nicht, dann liegt woanders der Fehler, den ich zu finden versuche und mich hier ans Forum gewandt habe. Mehrere Ausgen sehen bekanntlich besser als zwei. Du sagst du hast aktuell eine pfSense hochgezogen um deine "Richtigkeit" zu untermauern, hast aber vermutlich wieder nicht gelesen um welche Version es sich handelt und die Erklärung hierzu. Wenn du helfen kannst, bin ich ganz Ohr und auch sehr dankbar. Ersteres war bisher nicht der Fall.
Ich vermute schlichtweg, dass in der Version 2.2 eine gateway group "ausschliesslich" in den firewall rules Verwendung finden kann, nicht aber als default gateways für z.B. DNS resolver oder ähnlichem. Kann das jemand bestätigen oder hat eine andere Erklärung hierzu?
Kann ich dieser pfSense denn wenigstens sagen, er soll als globale Einstellung die gateway group "failover" für die Nutzung Interverkehr des Proxys verwenden, den ich ebenfalls auf der pfsense betreibe? ich finde keine Einstellung in den Proxy Einstellungen der pfSense. Oder muss das ausschliesslich über die fw rules gemanaged werden und ich such mir die Regeln raus á-la Destination/Port: */80+443 und UDP/53 für DNS-Auflösungen und weise diesen manuell dieses gateway zu über die "advanced feautures" --> "gateway" --> "gw group failover" ?
Erkläre mir bitte was in den Einstellungen der gateway group falsch einzustellen wäre, das exakt zu dem geschilderten Problem der "Nicht-Auswählbarkeit" in anderen Menübereichen führt. Wenn das ein bug wäre, dann müsste das irgendwo dokumentiert sein. Wenn nicht, dann liegt woanders der Fehler, den ich zu finden versuche und mich hier ans Forum gewandt habe. Mehrere Ausgen sehen bekanntlich besser als zwei. Du sagst du hast aktuell eine pfSense hochgezogen um deine "Richtigkeit" zu untermauern, hast aber vermutlich wieder nicht gelesen um welche Version es sich handelt und die Erklärung hierzu. Wenn du helfen kannst, bin ich ganz Ohr und auch sehr dankbar. Ersteres war bisher nicht der Fall.
Ich vermute schlichtweg, dass in der Version 2.2 eine gateway group "ausschliesslich" in den firewall rules Verwendung finden kann, nicht aber als default gateways für z.B. DNS resolver oder ähnlichem. Kann das jemand bestätigen oder hat eine andere Erklärung hierzu?
Kann ich dieser pfSense denn wenigstens sagen, er soll als globale Einstellung die gateway group "failover" für die Nutzung Interverkehr des Proxys verwenden, den ich ebenfalls auf der pfsense betreibe? ich finde keine Einstellung in den Proxy Einstellungen der pfSense. Oder muss das ausschliesslich über die fw rules gemanaged werden und ich such mir die Regeln raus á-la Destination/Port: */80+443 und UDP/53 für DNS-Auflösungen und weise diesen manuell dieses gateway zu über die "advanced feautures" --> "gateway" --> "gw group failover" ?
In den Firewallregeln kann man unter ADVANCED das Gateway aussuchen und dort kann ich dann wählen, dass die gateway group "failover" genutzt werden soll für die jeweilige Regel. Aber wie manage ich das mit dem pfSense squid proxy und dem DNS? Das sind ja interne Dienste in der pfSense.
Meine Clients dürfen nicht direkt ins Internet, sie nutzen den auf den pfSense konfigurierten squid proxy. Ich finde ums Verrecken keine Option in pfSense 2.2, um den Proxy Server über die gateway group "failover" zu schicken. Wie macht man das?
Meine Clients dürfen nicht direkt ins Internet, sie nutzen den auf den pfSense konfigurierten squid proxy. Ich finde ums Verrecken keine Option in pfSense 2.2, um den Proxy Server über die gateway group "failover" zu schicken. Wie macht man das?
Das ist dem Proxy doch auch vollkommen Wumpe. Der richtet sich doch nur nach den IP Adressen seiner Zielserver und der je nach WAN gültigen Default Route die er der Routing Tabelle der FW entnimmt !
und wie stelle ich um von "default gateway = WAN1" ---auf---> "default gateway = group failover" ? in pfSense 2.2 unter System-->Gateways erscheinen nur die physischen vorhandenen gateway interfaces, keine Spur von gateway group. Man kann dort nicht einfach das default gateway auf eine Gruppe abändern. Genau das fehlt aber, damit die pfSense und dessen underlying services auch solch eine Gruppe nutzen können.
Wie also geht das ?
Wie also geht das ?
wie hat man denn die pfSense in den Versionen bis 2.2 Multi-WAN betrieben? das waren schliesslich etliche Jahre, die pfSense in diesem Releasezweig verbracht hatte bevor dann mit 2.3 die neue GUI und neue Funktionen hinzukamen. Es muss doch irgendwie möglich gewesen sein, ich kann mir nicht vorstellen dass es in der Vergangenheit kein einziger User auf der Welt genutzt hat.
Die Frage bleibt weiterhin bestehen: wie definiert man in dieser pfSense Version 2.2 eine gateway Gruppe als default gateway? Ziel ist es, damit auch die interne Services wie squid proxy oder DNS resolver auch diese gateway group nutzen können.
Die Frage bleibt weiterhin bestehen: wie definiert man in dieser pfSense Version 2.2 eine gateway Gruppe als default gateway? Ziel ist es, damit auch die interne Services wie squid proxy oder DNS resolver auch diese gateway group nutzen können.
