15
OPNsense 3 WAN Failover dennoch alle GW WAN netze erreichbar machen
Hallo
Ich komme aus dem Bereich Mikrotik und hab mal die OPNsense mal probiert. Bin neu in der OPNsense Materie
also danke schon mal für eure Nachsicht.
Ich hätte mal ein paar fragen da ich 3 ISP habe. Wegen Failover / Loadbalancer gibt es genug anleitungen mit Gateway Gruppe und Tiers und Wertigkeiten anzugeben usw -> Hab ich auch alles wie mit der Schema übersicht auch gemacht und läuft und gehe immer über WAN1 erstmal raus (WAN Fail Over gruppe)...... aber mal ne spezielle Frage.
Als Bsp
WAN1 hat IP 10.10.10.2 GW 10.10.10.1 -> Sag ich mal Glasfaser Anschluss
WAN2 hat IP 192.168.178.2 GW 192.168.178.1 -> Über eine Fritzbox zu ISP2 DSL oder so
WAN3 eine öffentliche IP wo ein FUNKnetz was im Verein betrieben wird anliegt
sag ich mal mit 82.10.20.120 (als Bsp) -> hier sind aber Subnetze 82.10.xx.xx sowie 192.168.xx.xx erreichbar für die Funksachen / Mikrotik Wireless Antennen usw usw.
Hautgateway ist im Failover in der Gatwaygruppe GW1.
Wie kann ich dennoch die Fritzbox 192.168.178.1 erreichen für Einstellungen sowie meine Geräte im Funknetz mit den jeweiligen Subnetzen? Also wenn ich 192.168.178.1 aufrufe passiert aber nix. Sowie 192.168.100.10 ( über WAN3).
Wenn ich dem LAN Netz sage das sie über FAILOVER WAN GRUPPE raus gehen soll läuft nix ausser das Internet aber kann WAN1 und WAN3 Netze nicht erreichen. Sag ich der Lan-gruppe das Gateway auf "Standart" (geht über WAN1 raus) und erreiche auch die anderen Netze hab aber dann kein Failover.
Hab das auch mi der ALIAS RFC1918 Anleitung gemacht -> geht auch nicht.
Brauch ich da virtuelle IPs über die sie raus gehen können? Gibt es für solch ein Fall Anleitungen?
Danke schonmal vorab
Ich komme aus dem Bereich Mikrotik und hab mal die OPNsense mal probiert. Bin neu in der OPNsense Materie
also danke schon mal für eure Nachsicht. Ich hätte mal ein paar fragen da ich 3 ISP habe. Wegen Failover / Loadbalancer gibt es genug anleitungen mit Gateway Gruppe und Tiers und Wertigkeiten anzugeben usw -> Hab ich auch alles wie mit der Schema übersicht auch gemacht und läuft und gehe immer über WAN1 erstmal raus (WAN Fail Over gruppe)...... aber mal ne spezielle Frage.
Als Bsp
WAN1 hat IP 10.10.10.2 GW 10.10.10.1 -> Sag ich mal Glasfaser Anschluss
WAN2 hat IP 192.168.178.2 GW 192.168.178.1 -> Über eine Fritzbox zu ISP2 DSL oder so
WAN3 eine öffentliche IP wo ein FUNKnetz was im Verein betrieben wird anliegt
sag ich mal mit 82.10.20.120 (als Bsp) -> hier sind aber Subnetze 82.10.xx.xx sowie 192.168.xx.xx erreichbar für die Funksachen / Mikrotik Wireless Antennen usw usw.
Hautgateway ist im Failover in der Gatwaygruppe GW1.
Wie kann ich dennoch die Fritzbox 192.168.178.1 erreichen für Einstellungen sowie meine Geräte im Funknetz mit den jeweiligen Subnetzen? Also wenn ich 192.168.178.1 aufrufe passiert aber nix. Sowie 192.168.100.10 ( über WAN3).
Wenn ich dem LAN Netz sage das sie über FAILOVER WAN GRUPPE raus gehen soll läuft nix ausser das Internet aber kann WAN1 und WAN3 Netze nicht erreichen. Sag ich der Lan-gruppe das Gateway auf "Standart" (geht über WAN1 raus) und erreiche auch die anderen Netze hab aber dann kein Failover.
Hab das auch mi der ALIAS RFC1918 Anleitung gemacht -> geht auch nicht.
Brauch ich da virtuelle IPs über die sie raus gehen können? Gibt es für solch ein Fall Anleitungen?
Danke schonmal vorab
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 53603072442
Url: https://administrator.de/contentid/53603072442
Printed on: September 1, 2024 at 02:09 o'clock
15 Comments
Latest comment
Moin,
Ich vermute, du hast das Pinning an die GW Group über eine Destination any Regel gemacht?
Falls ja, setz vor die Regel eine weitere Regel, die als Destination das Netz der Fritzbox (als Beispiel) hat und lass die GW Group weg.
Dann sollte die Sense das über ihr passendes Interface mit NAT rausschicken.
Gruß,
Avoton
Ich vermute, du hast das Pinning an die GW Group über eine Destination any Regel gemacht?
Falls ja, setz vor die Regel eine weitere Regel, die als Destination das Netz der Fritzbox (als Beispiel) hat und lass die GW Group weg.
Dann sollte die Sense das über ihr passendes Interface mit NAT rausschicken.
Gruß,
Avoton
Da WAN1 und WAN2 RFC1918 IP Koppelnetze sind hast du dort auch das im Default aktive globale RFC1918 Blocking an diesen Interfaces entfernt? (Haken beim Blocking entfernt) Siehe dazu auch HIER.
Wenn das gemacht wurde kann man problemlos auch alle Endgeräte in den WAN1 und WAN2 Netzen erreichen solange es keine extra Regelwerke gibt die das verhindern. Aus Sicht der Firewall sind das stinknormale Zielnetze im Internet wie alle anderen auch.
Wenn das gemacht wurde kann man problemlos auch alle Endgeräte in den WAN1 und WAN2 Netzen erreichen solange es keine extra Regelwerke gibt die das verhindern. Aus Sicht der Firewall sind das stinknormale Zielnetze im Internet wie alle anderen auch.
Moin.
Nebenbei hat OPNsense eine gute Community, denke da ist man beim Thema etwas besser aufgehoben.
https://forum.opnsense.org/index.php?board=6.0
Zum Zeichnen ist Draw.io oder LibreOffice Draw empfehlenswert.
https://www.drawio.com/
Nebenbei hat OPNsense eine gute Community, denke da ist man beim Thema etwas besser aufgehoben.
https://forum.opnsense.org/index.php?board=6.0
Zum Zeichnen ist Draw.io oder LibreOffice Draw empfehlenswert.
https://www.drawio.com/
Zitat von @aqui:
Da WAN1 und WAN2 RFC1918 IP Koppelnetze sind hast du dort auch das im Default aktive globale RFC1918 Blocking an diesen Interfaces entfernt? (Haken beim Blocking entfernt) Siehe dazu auch HIER.
Wenn das gemacht wurde kann man problemlos auch alle Endgeräte in den WAN1 und WAN2 Netzen erreichen solange es keine extra Regelwerke gibt die das verhindern. Aus Sicht der Firewall sind das stinknormale Zielnetze im Internet wie alle anderen auch.
Da WAN1 und WAN2 RFC1918 IP Koppelnetze sind hast du dort auch das im Default aktive globale RFC1918 Blocking an diesen Interfaces entfernt? (Haken beim Blocking entfernt) Siehe dazu auch HIER.
Wenn das gemacht wurde kann man problemlos auch alle Endgeräte in den WAN1 und WAN2 Netzen erreichen solange es keine extra Regelwerke gibt die das verhindern. Aus Sicht der Firewall sind das stinknormale Zielnetze im Internet wie alle anderen auch.
Zumindest solange die Geräte im Transfernetz das Source Netz kennen. Ansonsten muss die Route angepasst werden.
Danke erstmal für euren Beitrag zum Thema...
@ nachgefragt
Also da hab ich gefragt da meldet sich nichtmal einer... ich denke mal das man hier 10x mehr und schneller hilfe bekommt als dort. Selbst wenn man nach Hardware fragt verweise sie meist nur auf die OPNsense Hardware selbst. Sorry hab doch nicht im Lotto gewonnen....
@Avoton
Super danke für dein TIP das ist genau das richtige und nun haut es hin das ich die anderen netze erreiche.
@aqui
Der Hacken RFC1918 zu blocken war nicht gesetzt.
@ nachgefragt
Also da hab ich gefragt da meldet sich nichtmal einer... ich denke mal das man hier 10x mehr und schneller hilfe bekommt als dort. Selbst wenn man nach Hardware fragt verweise sie meist nur auf die OPNsense Hardware selbst. Sorry hab doch nicht im Lotto gewonnen....
@Avoton
Super danke für dein TIP das ist genau das richtige und nun haut es hin das ich die anderen netze erreiche.
@aqui
Der Hacken RFC1918 zu blocken war nicht gesetzt.
Ich hab aber noch eine andere Sache mit dem Failover.
GW1 wennich da das Netzwerkkabel raus ziehe PaketLoss geht hoch wird Offline angezeigt aber stellt die Routen nicht um. Obwohl ich diverse Youtube videos wie die das machen probiert habe. er zeigt weiter WAN1 als aktiv an!
Wenn ich es dann irgendwie umgeschaltet bekomme zeigt mir immer noch WAN1 als aktiv...geht aber über WAN2 raus und Ip ist dann im Netz von WAN2.
Wenn ich WAN1 rein stecke bleibt der PacketLoss zähler immer noch bei 100% und wird weiter als Offline angezeigt.
Kann sich jemand da ein reim drauf machen?
GW1 wennich da das Netzwerkkabel raus ziehe PaketLoss geht hoch wird Offline angezeigt aber stellt die Routen nicht um. Obwohl ich diverse Youtube videos wie die das machen probiert habe. er zeigt weiter WAN1 als aktiv an!
Wenn ich es dann irgendwie umgeschaltet bekomme zeigt mir immer noch WAN1 als aktiv...geht aber über WAN2 raus und Ip ist dann im Netz von WAN2.
Wenn ich WAN1 rein stecke bleibt der PacketLoss zähler immer noch bei 100% und wird weiter als Offline angezeigt.
Kann sich jemand da ein reim drauf machen?
GW1 wennich da das Netzwerkkabel raus ziehe PaketLoss geht hoch wird Offline angezeigt aber stellt die Routen nicht um. Obwohl ich diverse Youtube videos wie die das machen probiert habe. er zeigt weiter WAN1 als aktiv an!
Zeigt er es jetzt als offline oder aktiv an?
Mach doch Mal einen Screenshot.
Gruß,
Avoton
Hallo
Hatte OPNsense mal komplett zurück gesetzt und neu Eingestellt.
Habe jetzt die einstellungen:
WAN1 - Provider mit fester IP aus 212.21.xx.xx IP
WAN2 - DSL Provider mit Fritzbox davor
WAN3 - Provider mit fester IP mit Router davor (192.168.0.1)
Wenn ich WAN1 vom Provider Trenne Läuft Loss Zähler hoch und bleibt aktiv schaltet nicht um. Siehe Bild
Wenn ich WAN1 wieder verbinde, bleibt der LOSS zähler bei 100% und nicht runter und ändert sich nichts.
Hier noch meine Failover Group Tier Einstellung
Nach Neustart der Firewall ist alles normal:
Hier noch meine LAN einstellung:
meine DNS Einstellung:
Kann sich jemand einen Reim drauf machen wieso die Gateways nicht wieder kommen von alleine?
Oder wieso WAN nicht auf WAN2 oder 3 schaltet?
Hatte OPNsense mal komplett zurück gesetzt und neu Eingestellt.
Habe jetzt die einstellungen:
WAN1 - Provider mit fester IP aus 212.21.xx.xx IP
WAN2 - DSL Provider mit Fritzbox davor
WAN3 - Provider mit fester IP mit Router davor (192.168.0.1)
Wenn ich WAN1 vom Provider Trenne Läuft Loss Zähler hoch und bleibt aktiv schaltet nicht um. Siehe Bild
Wenn ich WAN1 wieder verbinde, bleibt der LOSS zähler bei 100% und nicht runter und ändert sich nichts.
Hier noch meine Failover Group Tier Einstellung
Nach Neustart der Firewall ist alles normal:
Hier noch meine LAN einstellung:
meine DNS Einstellung:
Kann sich jemand einen Reim drauf machen wieso die Gateways nicht wieder kommen von alleine?
Oder wieso WAN nicht auf WAN2 oder 3 schaltet?
Gateway Monitoring auf den DefaultGWs aktivieren und die Einstellung für das Switching setzen
"Gateway switching” in System->Settings->General
https://docs.opnsense.org/manual/gateways.html
P.s. Bei deinen LAN-Regeln wird die letzte mit der Gateway-Group niemals erreicht werden weil sämtlicher Traffic schon von der ersten abgefangen wird ...
Gruß
"Gateway switching” in System->Settings->General
https://docs.opnsense.org/manual/gateways.html
By default the system only chooses a (new) default gateway on startup or when an interface is connected or disconnected. In many cases you might want the default gateway also changed when the current gateway is not reachable anymore (via configured monitoring), in which case you can enable “Gateway switching” in System->Settings->General
P.s. Bei deinen LAN-Regeln wird die letzte mit der Gateway-Group niemals erreicht werden weil sämtlicher Traffic schon von der ersten abgefangen wird ...
Gruß
In Ergänzung:
Wenn der Traffic über die Regel sowieso auf die GW Group geleitet wird, hat das Default Gateway darauf keinen Einfluss.
Hier wäre nur der Traffic von der Firewall selbst (also z.B. Updates) betroffen oder Traffic, der kein Gateway per Regel bekommt.
Gruß,
Avoton
Wenn der Traffic über die Regel sowieso auf die GW Group geleitet wird, hat das Default Gateway darauf keinen Einfluss.
Hier wäre nur der Traffic von der Firewall selbst (also z.B. Updates) betroffen oder Traffic, der kein Gateway per Regel bekommt.
Gruß,
Avoton
Korrekt, nur mit seinen oben ersichtlichen LAN Regeln wird die mit der gesetzten Gateway-Group niemals erreicht werden weil die erste Regel eh schon alles an Traffic abfängt soweit man das am Screenshot sehen kann.
Eine Regel mit Quelle = LAN Network und mit Ziel = !RFC1918 und gesetzter Gateway-Group vor allen anderen Regeln würde das gewünschte abfackeln.
Hier kann der TO es auch nachlesen
OpenSense mit 2 WAN und 2 LAN, Gateway festlegen
Eine Regel mit Quelle = LAN Network und mit Ziel = !RFC1918 und gesetzter Gateway-Group vor allen anderen Regeln würde das gewünschte abfackeln.
Hier kann der TO es auch nachlesen
OpenSense mit 2 WAN und 2 LAN, Gateway festlegen
Danke für eure Kommentare....
Also von WAN1 auf WAN2 schaltet er erstmal um. (umschaltung war in den einstellung Häkchen war gesetzt).
GW der WAN2 und 3 waren falch hatte ich korrigiert.
Dennoch WAN1 ist physisch wieder da aber dennoch läuft der LOSS zähler von WAN1 nicht runter und schaltet nicht auf WAN1 wieder.Siehe Bild
Selbst wenn der LOSS zähler auf 50% ist und ich WAN1 wieder habe zählt er auf 100% dennoch hoch. Ist das normal?
Wenn dann WAN2 stecker ziehe geht Loss hoch auf WAN2 und schaltet auf WAN3 -> das funktioniert tadellos.
Auch wenn ich WAN2 den Stecker wieder rein stecke Geht LOSS auf WAN2 runter und schaltet von WAN3 auf WAN2 zurück.
Nur WAN1 ist auch da aber LOSS zähler geht wie gesagt nicht runter
und verharrt auf der Stellung wie im Bild zu sehen ist.
Habe die RFC1918 Regeln angelegt siehe Bild
Doch wenn ich die LAN regel aktiviere komme ich dennoch nicht ins WAN3 (auch wenn WAN1 aktiv nach neustart komme ich damit auch nicht auf die Fritzbox in WAN2) und Internet geht dann auch nicht Auch wenn ich RFC regel Source (LAN Netzwerk) oder das Gateway weg lasse. Es geht dann nix mehr
Also von WAN1 auf WAN2 schaltet er erstmal um. (umschaltung war in den einstellung Häkchen war gesetzt).
GW der WAN2 und 3 waren falch hatte ich korrigiert.
Dennoch WAN1 ist physisch wieder da aber dennoch läuft der LOSS zähler von WAN1 nicht runter und schaltet nicht auf WAN1 wieder.Siehe Bild
Selbst wenn der LOSS zähler auf 50% ist und ich WAN1 wieder habe zählt er auf 100% dennoch hoch. Ist das normal?
Wenn dann WAN2 stecker ziehe geht Loss hoch auf WAN2 und schaltet auf WAN3 -> das funktioniert tadellos.
Auch wenn ich WAN2 den Stecker wieder rein stecke Geht LOSS auf WAN2 runter und schaltet von WAN3 auf WAN2 zurück.
Nur WAN1 ist auch da aber LOSS zähler geht wie gesagt nicht runter
und verharrt auf der Stellung wie im Bild zu sehen ist.Habe die RFC1918 Regeln angelegt siehe Bild
Doch wenn ich die LAN regel aktiviere komme ich dennoch nicht ins WAN3 (auch wenn WAN1 aktiv nach neustart komme ich damit auch nicht auf die Fritzbox in WAN2) und Internet geht dann auch nicht
Auch wenn ich RFC regel Source (LAN Netzwerk) oder das Gateway weg lasse. Es geht dann nix mehr
Du musst schon genau lesen was wir schreiben. Das !RFC1918 als Ziel soll in die Regel mit der Failover Group.
Das ist ja deine Regel Richtung Internet.
Die andere Regel wäre dann
Lan Netzwerk -> RFC1918 Allow (ohne Gateway).
Gruß,
Avoton
Das ist ja deine Regel Richtung Internet.
Die andere Regel wäre dann
Lan Netzwerk -> RFC1918 Allow (ohne Gateway).
Gruß,
Avoton
1
So hab da mal ein bild
Soweit funktioniert das das ich auf die privaten Subnetze komme.
Vielen lieben dank.
Jetzt läuft auf WAN1 auf WAN2 umschaltung und auch wieder zurück auf WAN1 und der LOSS
zähler macht auch was er soll.
Herzlichen dank an AVOTON, aqui und barcadi !!!
Soweit funktioniert das das ich auf die privaten Subnetze komme.
Vielen lieben dank.
Jetzt läuft auf WAN1 auf WAN2 umschaltung und auch wieder zurück auf WAN1 und der LOSS
zähler macht auch was er soll.
Herzlichen dank an AVOTON, aqui und barcadi !!!
Glückwunsch! 👏
Bitte dann auch nicht vergessen deinen Thread zu schliessen!
How can I mark a post as solved?
Bitte dann auch nicht vergessen deinen Thread zu schliessen!
How can I mark a post as solved?
