12
OPNsense Multi-WAN Externer Zugriff gleichzeitig
Hallo
zum Beitrag:
OPNsense 3 WAN Failover dennoch alle GW WAN netze erreichbar machen
hätte ich doch noch ein paar fragen und probleme.
Am WAN1 ist Glasfaser und nutze ich im Failover (nur interne adressen keine öffentliche) und ist aktiv.
Dennoch ist WAN3 eine feste IP Adresse wo ich von Extern gerne drauf zugreifen möchte für Einstellungen oder VPN sachen
da es eine feste IP hat und sich nicht ändert. Er ist weder pingbar noch erreichbar der WAN3 Anschluss wenn WAN1 aktiv.
Gibt es da einen Beitrag / Anleitung wo ich die Lösung nachlesen kann oder kann mir jemand da auf die Sprünge helfen
was ich da noch einstellen muss?
Danke
Gruß
zum Beitrag:
OPNsense 3 WAN Failover dennoch alle GW WAN netze erreichbar machen
hätte ich doch noch ein paar fragen und probleme.
Am WAN1 ist Glasfaser und nutze ich im Failover (nur interne adressen keine öffentliche) und ist aktiv.
Dennoch ist WAN3 eine feste IP Adresse wo ich von Extern gerne drauf zugreifen möchte für Einstellungen oder VPN sachen
da es eine feste IP hat und sich nicht ändert. Er ist weder pingbar noch erreichbar der WAN3 Anschluss wenn WAN1 aktiv.
Gibt es da einen Beitrag / Anleitung wo ich die Lösung nachlesen kann oder kann mir jemand da auf die Sprünge helfen
was ich da noch einstellen muss?
Danke
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8251400787
Url: https://administrator.de/contentid/8251400787
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
12 Kommentare
Neuester Kommentar
Er ist weder pingbar noch erreichbar der WAN3 Anschluss wenn WAN1
Das ist verständlich, denn die Antwortpakete durchlaufen ja die Routing Tabelle und dort ist abhängig von der Policy was antwortet. Ein direkter Ping der WAN IP sollte aber in jedem Falle beantwortet werden.Generell ist per Default auf dem oder den WAN Ports immer eine ICMP Regel aktiv die Pings (ICMP Echo Requests) verbietet. Per se sind also WAN Ports generell nicht pingbar, es sei denn du hast dies mit einer entsprechenden WAN Regel erlaubt?
Leider fehlt hier ein entsprechender Screenshot deines WAN Rulesets so das man nur frei raten kann ob du diese Regel erstellt hast oder nicht.
Wie immer sieht man das Ping Blocking auch im Firewall Log wie hier bei einer pfSense, das auch die OPNsense ebenso im FW Log anzeigt:
Das was für ICMP gilt, gilt natürlich explizit auch für alle anderen Dienste bzw. Zielports, insbesondere für VPNs. Auch hier müssen die entsprechenden VPN Ports, je nachdem welches Protokoll du verwendest, generell mit einer FW Regel den Zugang zur jeweiligen WAN IP erlauben. (Siehe dazu auch hier).
Hab mal meine WAN Rules angehangen.
Wenn WAN Aktiv funktioniert Ping, Webif aufrufen und Wireguard, wenn Glasfaser aktiv dann gehts nicht mehr.
Hier meine WAN Rules
Wenn WAN Aktiv funktioniert Ping, Webif aufrufen und Wireguard, wenn Glasfaser aktiv dann gehts nicht mehr.
Hier meine WAN Rules
Moin,
hast du den für WAN2 (glasfaser) deine firewall eingerichtet... also UDP für WG... und 443?
ohne wird es nicht gehen!
Frank
Wenn WAN Aktiv funktioniert Ping, Webif aufrufen und Wireguard, wenn Glasfaser aktiv dann gehts nicht mehr.
nun, warum du 443 für deine FW machst, verstehe ich nicht... aber gut... jeder wie er mag.hast du den für WAN2 (glasfaser) deine firewall eingerichtet... also UDP für WG... und 443?
ohne wird es nicht gehen!
Frank
1
Nochmal wenn WAN1 (Glasfaser 1GbE) aktiv dann geht WAN3 (ISP mit fester IP) mit den WAN-Rules (siehe Bild) gar nicht. Alle regeln greifen erst laut "WAN3 Rules" (Bild) wenn WAN3 aktiv ist dann geht alles.
Nur ich möchte nicht WAN1 als VPN und Remote zugriff haben sondern WAN3.
Ich weiss das ich die Pakete taggen muss -> nur wie geht das in der OPNsense?
Wieso kann ich WAN3 nicht pingen wenn WAN1 aktiv? (Gruppe Failover)
Nur ich möchte nicht WAN1 als VPN und Remote zugriff haben sondern WAN3.
Ich weiss das ich die Pakete taggen muss -> nur wie geht das in der OPNsense?
Wieso kann ich WAN3 nicht pingen wenn WAN1 aktiv? (Gruppe Failover)
Hab mal meine WAN Rules angehangen.
Die ICMP Rule ist falsch wie du ja selber sehen kannst! Als Destination (Ziel) muss dort "WAN_IP_address" rein und kein "Scheunentor" wie bei dir. Sicherheit sieht anders aus.
Das ein WAN Port inaktiv ist darf nicht sein. Bedeutet dann natürlich das es keine physische Verbindung dieses WAN Ports gibt. Das lässt entweder auf einen Anschlussdefekt oder eine Fehlkonfiguration schliessen. Logisch denn das inaktive Interface triggert bei der FW verständlicherweise ein Failover. Bei jedem Switch oder Router ist ebenso ein inaktives Interface nicht nutzbar. Eine simle Binsenweisheit die einer der gesunde IT Verstand schon sagt...
In einem Load Balancing Setup müssen doch logischerweise alle partizipierenden Interfaces connected und damit aktiv sein.
Du hast einen ganz anderen Fehler (Interface Hardware) als ein falsches Ruleset wenn WAN 3 inaktiv ist!
Hallo Aqui
Also ganz so unwissend bin ich nun auch nicht (Mikrotik Erfahrung). In der Gateway Gruppe ist WAN3 auch vorhanden und online. Failover mit allen 3 WANs funktioniert auch und alle drei werden auch online angezeigt. Doch laut Failover ist WAN1 (Glasfaser) aktiv!
"Also" physisch ist alles dran alle Ports blinken wie ein Christbaum mit Blinklichtern
Deine WAN Rules ob falsch hin oder her... dein Vorschlag funktioniert auch nur nicht!!!!
Dein Vorschlag alles hab ich schon alles durch getestet von quelle "WAN Netz" bis Destination "Wan Adresse" oder "diese Firewall" usw usw hab ich alles schon 3 mal hin und her ausprobiert. -> GEHT NICHT !!!!
Klar wenn sie im Failover Gateway Menü aktiv ist läuft sie ja auch. Ist ja logisch!
Doch wenn vom FAILOVER Gateway Menü "WAN1" oder "WAN2" aktive sind lässt sich WAN3 von extern nicht anpingen. Wenn ich WAN1 und WAN2 das Kabel ziehe springt logisch das FAILOVER auf WAN3 ... dann kann ich auch von extern Pingen und VPNs aufbauen usw. usw. .
Klar ist mir auch das irgendwo ein Haken gesetzt werden muss oder eine Einstellung gemacht werden muss damit das dennoch läuft. Nur wo und welchen bzw. was?
Also ganz so unwissend bin ich nun auch nicht (Mikrotik Erfahrung). In der Gateway Gruppe ist WAN3 auch vorhanden und online. Failover mit allen 3 WANs funktioniert auch und alle drei werden auch online angezeigt. Doch laut Failover ist WAN1 (Glasfaser) aktiv!
"Also" physisch ist alles dran alle Ports blinken wie ein Christbaum mit Blinklichtern
Deine WAN Rules ob falsch hin oder her... dein Vorschlag funktioniert auch nur nicht!!!!
Dein Vorschlag alles hab ich schon alles durch getestet von quelle "WAN Netz" bis Destination "Wan Adresse" oder "diese Firewall" usw usw hab ich alles schon 3 mal hin und her ausprobiert. -> GEHT NICHT !!!!
Klar wenn sie im Failover Gateway Menü aktiv ist läuft sie ja auch. Ist ja logisch!
Doch wenn vom FAILOVER Gateway Menü "WAN1" oder "WAN2" aktive sind lässt sich WAN3 von extern nicht anpingen. Wenn ich WAN1 und WAN2 das Kabel ziehe springt logisch das FAILOVER auf WAN3 ... dann kann ich auch von extern Pingen und VPNs aufbauen usw. usw. .
Klar ist mir auch das irgendwo ein Haken gesetzt werden muss oder eine Einstellung gemacht werden muss damit das dennoch läuft. Nur wo und welchen bzw. was?
Buonasera.
2 Settings sind hier zu setzen/kontrollieren
Einmal in den jeweiligen WAN Interface-Settings, unter IPv4 gateway rules das entsprechende GW setzen
https://docs.opnsense.org/manual/interfaces.html
Und zweitens unter Firewall >> Advanced Settings sicherstellen das bei folgender Einstellung kein Häkchen gesetzt ist
https://docs.opnsense.org/manual/firewall_settings.html#disable-reply-to
Dieses Setting kann auch explizit in den advanced settings der Firewall Regeln am WAN gesetzt werden indem man dort das "reply-to" auf das jeweilige GW setzt.
Und schon löppt dat.😉
Ciao.
Naughty
2 Settings sind hier zu setzen/kontrollieren
Einmal in den jeweiligen WAN Interface-Settings, unter IPv4 gateway rules das entsprechende GW setzen
https://docs.opnsense.org/manual/interfaces.html
IPv4 gateway rules:
When a gateway is set here, packets entering the interface will also sent out on the same interface when replied. In addition outbound NAT will be set up automatically when mode is set to Automatic or Hybrid.
https://docs.opnsense.org/manual/firewall_settings.html#disable-reply-to
Disable reply-to
With Multi-WAN you generally want to ensure traffic leaves the same interface it arrives on, hence reply-to is added automatically by default. When using bridging, you must disable this behavior if the WAN gateway IP is different from the gateway IP of the hosts behind the bridged interface.
Und schon löppt dat.😉
Ciao.
Naughty
Super danke nun löppt das 
Aber Wireguard kommt mit den selben Einstellungen nicht durch, hast du da auch noch einen heissen tip?
Moin...
Frank
Zitat von @Snupydoo:
Aber Wireguard kommt mit den selben Einstellungen nicht durch, hast du da auch noch einen heissen tip?
hast du den den WG UDP Port für WAN3 freigegeben?Aber Wireguard kommt mit den selben Einstellungen nicht durch, hast du da auch noch einen heissen tip?
Frank
Läuft hier im Test einwandfrei ohne weitere Maßnahmen. Zeig doch bitte mal dein aktuelles Regelwerk vom entsprechenden WAN.
1
Dein Ziel "WAN-Netzwerk" bezeichnet im übrigen nicht das "Internet". Sondern ausschließlich das direkt anliegende Provider Netz.
1
