snupydoo
Goto Top

OPNsense Multi-WAN Externer Zugriff gleichzeitig

Hallo

zum Beitrag:
OPNsense 3 WAN Failover dennoch alle GW WAN netze erreichbar machen
hätte ich doch noch ein paar fragen und probleme.

Am WAN1 ist Glasfaser und nutze ich im Failover (nur interne adressen keine öffentliche) und ist aktiv.
Dennoch ist WAN3 eine feste IP Adresse wo ich von Extern gerne drauf zugreifen möchte für Einstellungen oder VPN sachen
da es eine feste IP hat und sich nicht ändert. Er ist weder pingbar noch erreichbar der WAN3 Anschluss wenn WAN1 aktiv.
Gibt es da einen Beitrag / Anleitung wo ich die Lösung nachlesen kann oder kann mir jemand da auf die Sprünge helfen
was ich da noch einstellen muss?

Danke
Gruß

Content-ID: 8251400787

Url: https://administrator.de/forum/opnsense-multi-wan-externer-zugriff-gleichzeitig-8251400787.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

aqui
aqui 23.08.2024 aktualisiert um 18:31:19 Uhr
Goto Top
Er ist weder pingbar noch erreichbar der WAN3 Anschluss wenn WAN1
Das ist verständlich, denn die Antwortpakete durchlaufen ja die Routing Tabelle und dort ist abhängig von der Policy was antwortet. Ein direkter Ping der WAN IP sollte aber in jedem Falle beantwortet werden.
Generell ist per Default auf dem oder den WAN Ports immer eine ICMP Regel aktiv die Pings (ICMP Echo Requests) verbietet. Per se sind also WAN Ports generell nicht pingbar, es sei denn du hast dies mit einer entsprechenden WAN Regel erlaubt?
Leider fehlt hier ein entsprechender Screenshot deines WAN Rulesets so das man nur frei raten kann ob du diese Regel erstellt hast oder nicht. face-sad
Wie immer sieht man das Ping Blocking auch im Firewall Log wie hier bei einer pfSense, das auch die OPNsense ebenso im FW Log anzeigt:
icmpblock
Zuallererst muss du also erstmal klären ob es dieses ICMP Ruleset bei dir gibt was die WAN IP überhaupt erst pingbar macht.
Das was für ICMP gilt, gilt natürlich explizit auch für alle anderen Dienste bzw. Zielports, insbesondere für VPNs. Auch hier müssen die entsprechenden VPN Ports, je nachdem welches Protokoll du verwendest, generell mit einer FW Regel den Zugang zur jeweiligen WAN IP erlauben. (Siehe dazu auch hier).
Snupydoo
Snupydoo 23.08.2024 um 19:19:38 Uhr
Goto Top
Hab mal meine WAN Rules angehangen.
Wenn WAN Aktiv funktioniert Ping, Webif aufrufen und Wireguard, wenn Glasfaser aktiv dann gehts nicht mehr.

Hier meine WAN Rules
wan-incomming-regel
Vision2015
Vision2015 23.08.2024 um 20:19:46 Uhr
Goto Top
Moin,

Wenn WAN Aktiv funktioniert Ping, Webif aufrufen und Wireguard, wenn Glasfaser aktiv dann gehts nicht mehr.
nun, warum du 443 für deine FW machst, verstehe ich nicht... aber gut... jeder wie er mag.

hast du den für WAN2 (glasfaser) deine firewall eingerichtet... also UDP für WG... und 443?
ohne wird es nicht gehen!

Frank
Snupydoo
Snupydoo 23.08.2024 um 20:38:26 Uhr
Goto Top
Nochmal wenn WAN1 (Glasfaser 1GbE) aktiv dann geht WAN3 (ISP mit fester IP) mit den WAN-Rules (siehe Bild) gar nicht. Alle regeln greifen erst laut "WAN3 Rules" (Bild) wenn WAN3 aktiv ist dann geht alles.

Nur ich möchte nicht WAN1 als VPN und Remote zugriff haben sondern WAN3.

Ich weiss das ich die Pakete taggen muss -> nur wie geht das in der OPNsense?
Wieso kann ich WAN3 nicht pingen wenn WAN1 aktiv? (Gruppe Failover)
aqui
aqui 24.08.2024 aktualisiert um 09:07:54 Uhr
Goto Top
Hab mal meine WAN Rules angehangen.
Die ICMP Rule ist falsch wie du ja selber sehen kannst! face-sad
Als Destination (Ziel) muss dort "WAN_IP_address" rein und kein "Scheunentor" wie bei dir. Sicherheit sieht anders aus. face-sad
Das ein WAN Port inaktiv ist darf nicht sein. Bedeutet dann natürlich das es keine physische Verbindung dieses WAN Ports gibt. Das lässt entweder auf einen Anschlussdefekt oder eine Fehlkonfiguration schliessen. Logisch denn das inaktive Interface triggert bei der FW verständlicherweise ein Failover. Bei jedem Switch oder Router ist ebenso ein inaktives Interface nicht nutzbar. Eine simle Binsenweisheit die einer der gesunde IT Verstand schon sagt...
In einem Load Balancing Setup müssen doch logischerweise alle partizipierenden Interfaces connected und damit aktiv sein.
Du hast einen ganz anderen Fehler (Interface Hardware) als ein falsches Ruleset wenn WAN 3 inaktiv ist!
Snupydoo
Snupydoo 24.08.2024 um 17:45:37 Uhr
Goto Top
Hallo Aqui

Also ganz so unwissend bin ich nun auch nicht (Mikrotik Erfahrung). In der Gateway Gruppe ist WAN3 auch vorhanden und online. Failover mit allen 3 WANs funktioniert auch und alle drei werden auch online angezeigt. Doch laut Failover ist WAN1 (Glasfaser) aktiv!

"Also" physisch ist alles dran alle Ports blinken wie ein Christbaum mit Blinklichtern face-smile

Deine WAN Rules ob falsch hin oder her... dein Vorschlag funktioniert auch nur nicht!!!!
Dein Vorschlag alles hab ich schon alles durch getestet von quelle "WAN Netz" bis Destination "Wan Adresse" oder "diese Firewall" usw usw hab ich alles schon 3 mal hin und her ausprobiert. -> GEHT NICHT !!!!

Klar wenn sie im Failover Gateway Menü aktiv ist läuft sie ja auch. Ist ja logisch!
Doch wenn vom FAILOVER Gateway Menü "WAN1" oder "WAN2" aktive sind lässt sich WAN3 von extern nicht anpingen. Wenn ich WAN1 und WAN2 das Kabel ziehe springt logisch das FAILOVER auf WAN3 ... dann kann ich auch von extern Pingen und VPNs aufbauen usw. usw. .

Klar ist mir auch das irgendwo ein Haken gesetzt werden muss oder eine Einstellung gemacht werden muss damit das dennoch läuft. Nur wo und welchen bzw. was?
14260433693
Lösung 14260433693 24.08.2024 aktualisiert um 20:07:57 Uhr
Goto Top
Buonasera.

2 Settings sind hier zu setzen/kontrollieren

Einmal in den jeweiligen WAN Interface-Settings, unter IPv4 gateway rules das entsprechende GW setzen
https://docs.opnsense.org/manual/interfaces.html
IPv4 gateway rules: 

When a gateway is set here, packets entering the interface will also sent out on the same interface when replied. In addition outbound NAT will be set up automatically when mode is set to Automatic or Hybrid.
Und zweitens unter Firewall >> Advanced Settings sicherstellen das bei folgender Einstellung kein Häkchen gesetzt ist
https://docs.opnsense.org/manual/firewall_settings.html#disable-reply-to
Disable reply-to

With Multi-WAN you generally want to ensure traffic leaves the same interface it arrives on, hence reply-to is added automatically by default. When using bridging, you must disable this behavior if the WAN gateway IP is different from the gateway IP of the hosts behind the bridged interface.
Dieses Setting kann auch explizit in den advanced settings der Firewall Regeln am WAN gesetzt werden indem man dort das "reply-to" auf das jeweilige GW setzt.

Und schon löppt dat.😉

Ciao.
Naughty
Snupydoo
Snupydoo 24.08.2024 um 20:58:57 Uhr
Goto Top
Super danke nun löppt das face-wink
Snupydoo
Snupydoo 24.08.2024 um 21:27:02 Uhr
Goto Top
Aber Wireguard kommt mit den selben Einstellungen nicht durch, hast du da auch noch einen heissen tip?
Vision2015
Vision2015 24.08.2024 um 21:38:10 Uhr
Goto Top
Moin...
Zitat von @Snupydoo:

Aber Wireguard kommt mit den selben Einstellungen nicht durch, hast du da auch noch einen heissen tip?
hast du den den WG UDP Port für WAN3 freigegeben?

Frank
14260433693
14260433693 24.08.2024, aktualisiert am 25.08.2024 um 09:33:42 Uhr
Goto Top
Läuft hier im Test einwandfrei ohne weitere Maßnahmen. Zeig doch bitte mal dein aktuelles Regelwerk vom entsprechenden WAN.
Spirit-of-Eli
Spirit-of-Eli 24.08.2024 um 22:43:31 Uhr
Goto Top
Dein Ziel "WAN-Netzwerk" bezeichnet im übrigen nicht das "Internet". Sondern ausschließlich das direkt anliegende Provider Netz.