6
Konzept für MultiWAN mit ADSL und SkyDSL auf einer pfSense
Hallo,
ich suche gerade nach einer entsprechend betriebsfähigen Lösung für MultiWAN mit einem kleinen ADSL Business (fixe IP) und einem SkyDSL 10k. Die pfSense 2.0.2 A64 läuft auf einem Hyper-V. Das ADSL wird per PPPoE von der PF aufgebaut. SkyDSL wird mit DHCP verbunden. Intern gehen zwei diskrete LANs mit eigenen Subnetzen ab. Ein LAN ist für das Produktivnetz und das andere ist für ein HotSpot gedacht.
Eigentlich war es so gedacht, dass das HotSpot Netz über SkyDSL läuft, und das LAN über ADSL. Jetzt ist halt die Frage ob es irgendwie sinnvoll möglich ist ein Loadbalancing inkl. Failover Konzept aufzubauen?!
Im LAN hängen natürlich auch entsprechende Server (IIS/Exchange/RD-Gateway/PVR), welche auf die IP des ADSL angewiesen sind.
Habt ihr entsprechende Ideen?
Grüße
ich suche gerade nach einer entsprechend betriebsfähigen Lösung für MultiWAN mit einem kleinen ADSL Business (fixe IP) und einem SkyDSL 10k. Die pfSense 2.0.2 A64 läuft auf einem Hyper-V. Das ADSL wird per PPPoE von der PF aufgebaut. SkyDSL wird mit DHCP verbunden. Intern gehen zwei diskrete LANs mit eigenen Subnetzen ab. Ein LAN ist für das Produktivnetz und das andere ist für ein HotSpot gedacht.
Eigentlich war es so gedacht, dass das HotSpot Netz über SkyDSL läuft, und das LAN über ADSL. Jetzt ist halt die Frage ob es irgendwie sinnvoll möglich ist ein Loadbalancing inkl. Failover Konzept aufzubauen?!
Im LAN hängen natürlich auch entsprechende Server (IIS/Exchange/RD-Gateway/PVR), welche auf die IP des ADSL angewiesen sind.
Habt ihr entsprechende Ideen?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201480
Url: https://administrator.de/contentid/201480
Printed on: April 19, 2024 at 23:04 o'clock
6 Comments
Latest comment
Hallo svenider5,
Wie viele Mitarbeiter sind denn dort vor Ort zu versorgen?
Wie viele und was für Geräte sind denn vorhanden oder müssen versorgt werden?
Was für WLAN Klienten sind denn dort vorhanden?
Fix und fertig
Draytek Vigor3900
Netgear SRX5308
LANCOM 1781EF+
Sophos UTM220
Für pfSense
ALIX.2D2 Mainboard
ALIX.2D19 Mainboard
ALIX.6F2, 6E2 Mainboard
Soekris net5501, net6501
Was für Switche habt Ihr denn im Einsatz?
Firewall oder einen Router, um es strickt von einander zu trennen.
Alternativ wäre eine VRRRP Lösung mit MiktoTik Routern oder mit einem von
den o.g. Geräten von Draytek oder Sophos respektive Alix und Soekris.
Ist das öffentlich oder nur für Euch in der Firma?
Sind das Firmengeräte oder private?
Endwerder alles umsonst und ohne Geld in die Hand zu nehmen oder Geld ausgeben und alles wie die "großen" haben.
Sicherlich gibt es immer auch einen Mittelweg, nur der orientiert sich dann auch immer stark an den ganzen Sachen die Du uns nicht erzählt hast!
Gruß
Dobby
Die pfSense 2.0.2 A64 läuft auf einem Hyper-V
Soll das so bleiben?Wie viele Mitarbeiter sind denn dort vor Ort zu versorgen?
Wie viele und was für Geräte sind denn vorhanden oder müssen versorgt werden?
Was für WLAN Klienten sind denn dort vorhanden?
ich suche gerade nach einer entsprechend betriebsfähigen Lösung für MultiWAN
Soll das wieder auf pfSense Basis sein oder etwas anderes?Fix und fertig
Draytek Vigor3900
Netgear SRX5308
LANCOM 1781EF+
Sophos UTM220
Für pfSense
ALIX.2D2 Mainboard
ALIX.2D19 Mainboard
ALIX.6F2, 6E2 Mainboard
Soekris net5501, net6501
zwei diskrete LANs mit eigenen Subnetzen ab.
Können es auch VLANs sein und jedes VLAN hat dann sein eigenes Subnetz?Was für Switche habt Ihr denn im Einsatz?
Ein LAN ist für das Produktivnetz und das andere ist für ein HotSpot gedacht.
Pack beides in ein Netzwerk und trenne es am besten durch VLANs oder hol Dir für jeden Internetzugang eineFirewall oder einen Router, um es strickt von einander zu trennen.
Jetzt ist halt die Frage ob es irgendwie sinnvoll möglich ist ein Loadbalancing inkl. Failover Konzept aufzubauen?!
Normaler weise macht man entweder ein Failover oder ein LoadBalancing.Alternativ wäre eine VRRRP Lösung mit MiktoTik Routern oder mit einem von
den o.g. Geräten von Draytek oder Sophos respektive Alix und Soekris.
Eigentlich war es so gedacht, dass das HotSpot Netz...
Warum ein HotSpot und nicht nur ein WLAN was mit einem Radius Server abgesichert ist?Ist das öffentlich oder nur für Euch in der Firma?
Sind das Firmengeräte oder private?
Habt ihr entsprechende Ideen?
Tja, wie soll ich es sagen ohne das Du es mir "krumm" nimmst?Endwerder alles umsonst und ohne Geld in die Hand zu nehmen oder Geld ausgeben und alles wie die "großen" haben.
Sicherlich gibt es immer auch einen Mittelweg, nur der orientiert sich dann auch immer stark an den ganzen Sachen die Du uns nicht erzählt hast!
Gruß
Dobby
Ein Load Balancing Konzept ist allein schon aus Failover Gründen sinnvoll. Fällt eine Leitung aus übernmmt die andere.
Du kannst auf der pfSense mit Policy Based Routing eine entsprechende Forwarding Regel einstellen. Sowie beide Leitungen verfügbar sind greift die auch.
Fällt eine mal aus kann die andere übernehmen und du hast keinerlei Unterbrechung die ein manuelles Eingreifen erfordert.
In sofern macht das also Sinn als vollkommen getrennt zu fahren.
Über den völligen Unsinn eine Firewall in einer VM zu fahren wollen wir hier mal nicht reden denn das ist ja nicht die Frage des Threads hier ?!
Du kannst auf der pfSense mit Policy Based Routing eine entsprechende Forwarding Regel einstellen. Sowie beide Leitungen verfügbar sind greift die auch.
Fällt eine mal aus kann die andere übernehmen und du hast keinerlei Unterbrechung die ein manuelles Eingreifen erfordert.
In sofern macht das also Sinn als vollkommen getrennt zu fahren.
Über den völligen Unsinn eine Firewall in einer VM zu fahren wollen wir hier mal nicht reden denn das ist ja nicht die Frage des Threads hier ?!
@d.o.b.b.y
Hi
ja, dass sollte eigentlich so bleiben. Ist halt ne Kostenfrage, die aber nicht durch mich beantwortet werden kann. Sicherlich wäre eine Appliance schön. Ein 19 Zoll Rack aber auch. Beides haben wir in diesem Fall aber nicht.
Switching erfolgt auf Desktopbasis. Hier ist alles unmanaged. Kein bisschen smart. VLAN scheidet aufgrund der Switchumgebung und wegen dem Hyper-V aus.
Das WLAN-Netz ist ein öffentliches Gastnetz. Daher ne HotSpot-Lösung bzw. ein Voucher-System.
Wir haben aber eine physikalisch diskrete Trennung von LAN und WLAN.
Im LAN hängen 4 Server und ca. 13 Clients. Nichts wildes.
Im WLAN ca. 10 APs und durschnittlich 15 User.
Aus genannten Gründen (va Kosten) würden wir bei PF bleiben. Außer es gibt relevante technische Gründe.....
@aqui
Hallo
Wie würde das Loadbalancing in diesem Fall funktionieren. Ja sicher nicht wie z.B. ein LACP-Trunk? Das Failover wäre natürlich eine feine Sache, ist aber kein Muss.
Man bedenke die enorme Latenz der SkyDSL-Leitung (ca. 800ms) und die dünne Bandbreite des ADSL (1000/120). Ist das irgendwie auf einen Nenner zu bringen? Sprich einen "Trunk" mit annehmbarer Latenz und schöner Bandbreite.
Warum macht es keinen Sinn eine FW/PF in einer VM zu betreiben?
Grüße
Hi
ja, dass sollte eigentlich so bleiben. Ist halt ne Kostenfrage, die aber nicht durch mich beantwortet werden kann. Sicherlich wäre eine Appliance schön. Ein 19 Zoll Rack aber auch. Beides haben wir in diesem Fall aber nicht.
Switching erfolgt auf Desktopbasis. Hier ist alles unmanaged. Kein bisschen smart. VLAN scheidet aufgrund der Switchumgebung und wegen dem Hyper-V aus.
Das WLAN-Netz ist ein öffentliches Gastnetz. Daher ne HotSpot-Lösung bzw. ein Voucher-System.
Wir haben aber eine physikalisch diskrete Trennung von LAN und WLAN.
Im LAN hängen 4 Server und ca. 13 Clients. Nichts wildes.
Im WLAN ca. 10 APs und durschnittlich 15 User.
Aus genannten Gründen (va Kosten) würden wir bei PF bleiben. Außer es gibt relevante technische Gründe.....
@aqui
Hallo
Wie würde das Loadbalancing in diesem Fall funktionieren. Ja sicher nicht wie z.B. ein LACP-Trunk? Das Failover wäre natürlich eine feine Sache, ist aber kein Muss.
Man bedenke die enorme Latenz der SkyDSL-Leitung (ca. 800ms) und die dünne Bandbreite des ADSL (1000/120). Ist das irgendwie auf einen Nenner zu bringen? Sprich einen "Trunk" mit annehmbarer Latenz und schöner Bandbreite.
Warum macht es keinen Sinn eine FW/PF in einer VM zu betreiben?
Grüße
Hallo nochmal,
allerbeste Lösung.
Ich denke dann fällt das eben flach mit den fertigen Lösungen die ich vorgeschlagen habe und VPN
wird dann wohl auch eher keine Rolle spielen bei Euch. Hauptsache man weiß erst einmal von was und wie viel
wir hier reden, hätte ja auch ein Büro mit 120 Mitarbeitern sein können die jetzt alle privat surfen dürfen.
Nur für eine Sache würde ich mich jetzt entscheiden wollen.
Ein Load Balancing oder ein Failover.
Es gibt drei Zonen zu dieser Sache:
1. Vor dem Router oder der Firewall (WAN)
2. Der Router oder die Firewall selber (Gerät)
3. Hinter dem Router oder der Firewall (LAN,DMZ)
WAN Leitung basierend:
1.a) Um in Punkt eins etwas zu bündeln bietet sich MLPPP an, das muss aber zum Einen von einem ISP (Provider) angeboten werden und auch leider auf beiden Seiten der Leitung unterstützt werden, bei dem ISP und Deinem Router (Firewall). nur bei einer solchen Lösung ist 1 + 1 = 2 MBit/s, sonst ist es ein Denkfehler oder frommer
Wunsch von vielen Leuten aber in Wirklichkeit ist dann 1 + 1 = 1 & 1 und nicht 2
1.b) Wenn man beide WAN Leitungen an einen Router oder eine Firewall koppelt, also eine Dual WAN Lösung aufsetzt
kann man sich in der Regel aussuchen ob auch beide benutzt werden (Load Balancing) [aktiv/aktiv]oder eine als "Notleitung" (Failover) [aktiv/passiv] betrieben wird.
Geräte basieren*
2.a) Bei Punkt zwei geht es richtig zur Sache und da rächt es sich wenn Du "nur" eine VM hast!
Du kannst auch zwei VMs aufsetzen, nur wenn Dir der Server "abraucht" ist das ganze Failoverkonzept hinüber!
Geräte basierend sieht es da schon anders aus, ähnlich wie bei dem Punkt 1 gibt es hier wieder zwei Möglichkeiten.
Zum Einen eine Lösung mittels VRRP (aktiv/passiv) wo ein Router oder die Firewall alles erledigt und wenn der
defekt ist dann übernimmt nach einer Zeit oder sofort die andere Hardware (Router/Firewall) die ganze Arbeit.
2.b) Wenn man jedoch mittels arpbalance über CARP (aktiv/aktiv) das ganze Szenario realisiert, dann ist das schon etwas anderes, denn dann wird die ganze Angelegenheit nicht nur über eine virtuelle IP sondern auch über eine virtuelle MAC Adresse realisiert und man kann die ganze Netzwerklast (WAN basierend) ausbalancieren.
LAN basierend
3.a) Wenn hier ein s.g. Flaschenhals (Switch > Switch oder Router > Switch) entsteht kann man mittels einer LAG
unter zu Hilfenahme des (LACP) diesen (Flaschenhals) beseitigen, dafür benötigt man mindestens zwei und höchstens
8 LAN Ports und auch die Geräte auf beiden Seiten müssen das LACP und das Bilden von LAGs unterstützen, ebenso
muss die selbe STP Variante auf den beiden Geräten vorhanden sein!
3.b) Man kann das LAG (LACP) auch von Switchen und Routern zu einem Server aufbauen, in der Regel sind das dann Server die sehr stark frquentiert werden und/oder eine hohe Zugriffsrate bedienen müssen, allerdings sollten die
Netzwerkkarten dann keine Virtuellen sein wie höchstwahrscheinlich in Deinem Fall in der VM, was ein weiterer
K.O. Punkt oder ein weiteres Kriterium für eine VM darstellt, sondern halt echte Server Netzwerkkarten die auch
diese Dienste und Protokolle unterstützen und die Möglichkeit bieten so eine oder mehrere LAG(s) auf zu bauen.
Ausnahme
Oh je, da gibt es bestimmt unzählige aber die eine die ich kenne will ich Dir gerne mitteilen.
Man hat zum Beispiel 10 FFTH Anschlüsse mit 200 MBit/s und koppelt diese an einen nicht blockierenden** Switch.
Für alle WAN Eingänge wird ein VLAN angelegt und dahinter kommt dann eine Lösung wie zum Beispiel in 2.a) & 2.b)
zum tragen. Dann können die Router oder die Firewalls "abschmieren" und die ganze Sache läuft problemlos weiter,
des weiteren kann man dann auch sehr große Router Cluster hinter diesem Switch betreiben, denn die WAN Leitungen
sind nicht direkt an die Router oder Firewalls gekoppelt!
Zuletzt;
Router (Firewall) oder Switch > Server = LAG
Switch > Switch (Router) = Uplink kann auch LAG sein
Switch > Switch (Router) Uplink mit VLANs = Trunk
Gruß
Dobby
ja, dass sollte eigentlich so bleiben. Ist halt ne Kostenfrage, die aber nicht durch mich beantwortet werden kann. Sicherlich wäre eine Appliance schön. Ein 19 Zoll Rack aber auch. Beides haben wir in diesem Fall aber nicht.
Ok, alles klar.Switching erfolgt auf Desktopbasis. Hier ist alles unmanaged. Kein bisschen smart. VLAN scheidet aufgrund der Switchumgebung und wegen dem Hyper-V aus.
Ok.Das WLAN-Netz ist ein öffentliches Gastnetz. Daher ne HotSpot-Lösung bzw. ein Voucher-System.
Auch ok.Wir haben aber eine physikalisch diskrete Trennung von LAN und WLAN.
Würde ich persönlich dann aber auch so lassen wollen.Im LAN hängen 4 Server und ca. 13 Clients. Nichts wildes.
Na dann ist das ja auch alles nicht so wild.Im WLAN ca. 10 APs und durschnittlich 15 User.
Jo nun weiß man wenigstens von was wir hier reden.Aus genannten Gründen (va Kosten) würden wir bei PF bleiben. Außer es gibt relevante technische Gründe.....
Alles klar ist ja auch kein Thema, nur eben eine Unsitte und auch sicherheitstechnisch nicht dieallerbeste Lösung.
Ich denke dann fällt das eben flach mit den fertigen Lösungen die ich vorgeschlagen habe und VPN
wird dann wohl auch eher keine Rolle spielen bei Euch. Hauptsache man weiß erst einmal von was und wie viel
wir hier reden, hätte ja auch ein Büro mit 120 Mitarbeitern sein können die jetzt alle privat surfen dürfen.
Nur für eine Sache würde ich mich jetzt entscheiden wollen.
Ein Load Balancing oder ein Failover.
Es gibt drei Zonen zu dieser Sache:
1. Vor dem Router oder der Firewall (WAN)
2. Der Router oder die Firewall selber (Gerät)
3. Hinter dem Router oder der Firewall (LAN,DMZ)
WAN Leitung basierend:
1.a) Um in Punkt eins etwas zu bündeln bietet sich MLPPP an, das muss aber zum Einen von einem ISP (Provider) angeboten werden und auch leider auf beiden Seiten der Leitung unterstützt werden, bei dem ISP und Deinem Router (Firewall). nur bei einer solchen Lösung ist 1 + 1 = 2 MBit/s, sonst ist es ein Denkfehler oder frommer
Wunsch von vielen Leuten aber in Wirklichkeit ist dann 1 + 1 = 1 & 1 und nicht 2
1.b) Wenn man beide WAN Leitungen an einen Router oder eine Firewall koppelt, also eine Dual WAN Lösung aufsetzt
kann man sich in der Regel aussuchen ob auch beide benutzt werden (Load Balancing) [aktiv/aktiv]oder eine als "Notleitung" (Failover) [aktiv/passiv] betrieben wird.
Geräte basieren*
2.a) Bei Punkt zwei geht es richtig zur Sache und da rächt es sich wenn Du "nur" eine VM hast!
Du kannst auch zwei VMs aufsetzen, nur wenn Dir der Server "abraucht" ist das ganze Failoverkonzept hinüber!
Geräte basierend sieht es da schon anders aus, ähnlich wie bei dem Punkt 1 gibt es hier wieder zwei Möglichkeiten.
Zum Einen eine Lösung mittels VRRP (aktiv/passiv) wo ein Router oder die Firewall alles erledigt und wenn der
defekt ist dann übernimmt nach einer Zeit oder sofort die andere Hardware (Router/Firewall) die ganze Arbeit.
2.b) Wenn man jedoch mittels arpbalance über CARP (aktiv/aktiv) das ganze Szenario realisiert, dann ist das schon etwas anderes, denn dann wird die ganze Angelegenheit nicht nur über eine virtuelle IP sondern auch über eine virtuelle MAC Adresse realisiert und man kann die ganze Netzwerklast (WAN basierend) ausbalancieren.
LAN basierend
3.a) Wenn hier ein s.g. Flaschenhals (Switch > Switch oder Router > Switch) entsteht kann man mittels einer LAG
unter zu Hilfenahme des (LACP) diesen (Flaschenhals) beseitigen, dafür benötigt man mindestens zwei und höchstens
8 LAN Ports und auch die Geräte auf beiden Seiten müssen das LACP und das Bilden von LAGs unterstützen, ebenso
muss die selbe STP Variante auf den beiden Geräten vorhanden sein!
3.b) Man kann das LAG (LACP) auch von Switchen und Routern zu einem Server aufbauen, in der Regel sind das dann Server die sehr stark frquentiert werden und/oder eine hohe Zugriffsrate bedienen müssen, allerdings sollten die
Netzwerkkarten dann keine Virtuellen sein wie höchstwahrscheinlich in Deinem Fall in der VM, was ein weiterer
K.O. Punkt oder ein weiteres Kriterium für eine VM darstellt, sondern halt echte Server Netzwerkkarten die auch
diese Dienste und Protokolle unterstützen und die Möglichkeit bieten so eine oder mehrere LAG(s) auf zu bauen.
Ausnahme
Oh je, da gibt es bestimmt unzählige aber die eine die ich kenne will ich Dir gerne mitteilen.
Man hat zum Beispiel 10 FFTH Anschlüsse mit 200 MBit/s und koppelt diese an einen nicht blockierenden** Switch.
Für alle WAN Eingänge wird ein VLAN angelegt und dahinter kommt dann eine Lösung wie zum Beispiel in 2.a) & 2.b)
zum tragen. Dann können die Router oder die Firewalls "abschmieren" und die ganze Sache läuft problemlos weiter,
des weiteren kann man dann auch sehr große Router Cluster hinter diesem Switch betreiben, denn die WAN Leitungen
sind nicht direkt an die Router oder Firewalls gekoppelt!
Zuletzt;
Router (Firewall) oder Switch > Server = LAG
Switch > Switch (Router) = Uplink kann auch LAG sein
Switch > Switch (Router) Uplink mit VLANs = Trunk
Gruß
Dobby
@d.o.b.b.y
Danke für deine schnelle und ausführliche Antwort.
Wir wollen das Loadbalancing/Failover nur WAN-Seitig. Das die ganze Mühle nicht redundant ist, ist eh klar.
Die Netze (LAN/WLAN) sollen auch strikt getrennt bleiben. Ich würde nur per FW-Rules einen Administrativen Zugang zum WLAN einrichten. Sollte ja weiterhin Zugriff auf meine APs haben.
LACP ist mit Hyper-V kein Problem. Habe ich bei vielen Kunden im Einsatz. Den Trunk setzte ich ja auf dem Host auf, und reiche die VM-LANs dann in die Gäste rein. geht gut.
Würde hier aber wieder eine ensprechende Topologie und Hardware vorraussetzen. Es bringt ja kaum was, wenn ich vom SW1 (Clientswitch) mit 1Gbit auf SW2 (Serverswitch) und von dort dann mit einem 4Gbits-LACP zum Server fahre. Außer Redundanz natürlich (Failover für Portdefekte).
Hat jemand Konfigurationsvorschläge auf der pFsense. Bin hier relativ unbeholfen.....
Aktuelle Situation:
PF läuft sauber
WAN1 (de0 / ADSL) per PPPOE verbunden (ist derzeit Default-GW)
WAN2 (de1 / SKYDSL) per DHCP verbunden
LAN (de2 / 192.168.123.0/24) aktiv
WLAN (de3 / 192.168.124.0/24) aktiv
NAT ist 25 und 443 ins LAN aktiv. FW sonst auf Any-Any. DHCP auf WLAN aktiv.
Ist alles also noch jungfräulich und frisch!
Danke
Danke für deine schnelle und ausführliche Antwort.
Wir wollen das Loadbalancing/Failover nur WAN-Seitig. Das die ganze Mühle nicht redundant ist, ist eh klar.
Die Netze (LAN/WLAN) sollen auch strikt getrennt bleiben. Ich würde nur per FW-Rules einen Administrativen Zugang zum WLAN einrichten. Sollte ja weiterhin Zugriff auf meine APs haben.
LACP ist mit Hyper-V kein Problem. Habe ich bei vielen Kunden im Einsatz. Den Trunk setzte ich ja auf dem Host auf, und reiche die VM-LANs dann in die Gäste rein. geht gut.
Würde hier aber wieder eine ensprechende Topologie und Hardware vorraussetzen. Es bringt ja kaum was, wenn ich vom SW1 (Clientswitch) mit 1Gbit auf SW2 (Serverswitch) und von dort dann mit einem 4Gbits-LACP zum Server fahre. Außer Redundanz natürlich (Failover für Portdefekte).
Hat jemand Konfigurationsvorschläge auf der pFsense. Bin hier relativ unbeholfen.....
Aktuelle Situation:
PF läuft sauber
WAN1 (de0 / ADSL) per PPPOE verbunden (ist derzeit Default-GW)
WAN2 (de1 / SKYDSL) per DHCP verbunden
LAN (de2 / 192.168.123.0/24) aktiv
WLAN (de3 / 192.168.124.0/24) aktiv
NAT ist 25 und 443 ins LAN aktiv. FW sonst auf Any-Any. DHCP auf WLAN aktiv.
Ist alles also noch jungfräulich und frisch!
Danke
..."Wie würde das Loadbalancing in diesem Fall funktionieren. Ja sicher nicht wie z.B. ein LACP-Trunk? "
Nein, natürllich nicht, denn das wäre ja auch technischer Unsinn. Jeder Netzwerker weiss das LACP Trunks nur mit Links gleicher Geschwindigkeit zu machen sind ! Abgesehen von dem Fakt das die Technik eine ganz andere ist.
Wie bereits gesagt geschieht das per PBR oder Session basiert oder eine Kombination aus beidem mit gegenseitigem Backup.
Die Trennung der Netze macht man dann mit VLANs. Das Tutorial dazu hier im Forum kennst du ja vermutlich:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Nein, natürllich nicht, denn das wäre ja auch technischer Unsinn. Jeder Netzwerker weiss das LACP Trunks nur mit Links gleicher Geschwindigkeit zu machen sind ! Abgesehen von dem Fakt das die Technik eine ganz andere ist.
Wie bereits gesagt geschieht das per PBR oder Session basiert oder eine Kombination aus beidem mit gegenseitigem Backup.
Die Trennung der Netze macht man dann mit VLANs. Das Tutorial dazu hier im Forum kennst du ja vermutlich:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
