Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PFsense Multi WAN Multi Lan. Zwei Lan Schnittstellen verschiedene Wan Schnittstellen zuordnen

Mitglied: DasBrot

DasBrot (Level 1) - Jetzt verbinden

18.10.2018, aktualisiert 19.10.2018, 1389 Aufrufe, 20 Kommentare

Hallo.

Ich habe eine PFSense mit zwei einwahl Wan Schnittstellen und 2 Lan Schnittstellen verschiedener IP Kreise.
Wie kann ich gewährleisten das die Adressen aus Lan 1 nur über Wan 1 ins Internet kommen, und die Adressen aus Lan 2 nur über Wan 2 ? Ich finde sehr viel zum Thema Failover und load balancing. Das hier soll aber nur zur Trennung des internettraffics sein. Gibt es da eine Möglichkeit ?Die Firewall regeln scheinen nicht der richtige Weg zu sein. Upstream Gateway klingt gut, verstehe ich aber nicht.
Hat jemand Lust zu helfen ?

Gruß
Bernd
Mitglied: Spirit-of-Eli
18.10.2018 um 13:52 Uhr
Moin,

du könnstest Policy Based Routing nutzen oder dem LanInterface das entsprechende GW zuweisen.

Gruß
Spirit
Bitte warten ..
Mitglied: DasBrot
18.10.2018, aktualisiert um 14:26 Uhr
Dem Lan das entsprechende Gateway zuweisen klingt gut. Damit ist aber sicher nicht die externe ip der gewünschten Wan Schnittstelle gemeint, oder ? Wobei auch der erste Hop der Wan Schnittstelle ausserhalb nicht geht. Ich kann dort keine externe IP eintragen. (The gateway address xxx does not lie within one of the chosen interface's subnets. )Oder versuche ich es mit IPv4 Upstream gateway an der falschen Stelle ?
Mit den Firewall Rules versuche ich es gerade, aber ich glaube kaum das es so einfach ist, einfach Wan1 net als erlaube Destination ein zu tragen.
Bitte warten ..
Mitglied: aqui
18.10.2018, aktualisiert um 14:37 Uhr
Das machst du mit entsprechende Rules bzw. Gateway Groups.
Alle Details dazu findest du in diesem Artikeln:
https://www.netgate.com/docs/pfsense/routing/multi-wan.html
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Bitte warten ..
Mitglied: DasBrot
18.10.2018, aktualisiert um 15:27 Uhr
Hmm den ersten Link hatte ich gefunden, aber zunächst nur wieder etwas über load balancing und fail over gelesen. Das wäre hier ja nicht gewünscht. Ich schaue was ich übersehen habe.
Load Balancing kommt schon allein wegen der Tunnelverbindungen welche nur an einer Wan Verbindung anliegen nicht in Frage
Hintergrund ist, das die Tunnel und das Hauptnetz dediziert eine Wan Schnitstelle und dessen Bandbreite haben, und der ganze Rest über wan 2 raus geht.
Bitte warten ..
Mitglied: ChriBo
LÖSUNG 18.10.2018 um 18:56 Uhr
Hallo,
Wahrscheinlich kannst du es nicht fest zuordnen (dh. LAN1 soll immer WAN1 nehmen und LAN2 soll immer WAN2 nehmen) sondern nur für einzelne Regeln: Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway bzw. LAN2-> Regel -> Advanced Options -> Gateway -> WAN2 Gateway.

CH
Bitte warten ..
Mitglied: aqui
19.10.2018, aktualisiert um 08:06 Uhr
Load Balancing kommt schon allein wegen der Tunnelverbindungen
Dort macht das Gerät ja auch per se kein Balancing. Wie sollte das denn auch gehen wenn du als VPN Peer Adresse eines der festen IPs an den WAN Anschlüssen angibst ?!
Deine Konfig Vorgabe ist aber über das Regelwerk sehr einfach lösbar.
Bitte warten ..
Mitglied: DasBrot
19.10.2018 um 10:07 Uhr
Das meinte ich damit das Load Balancing mit tunneln schwierig ist, wenn es nur round robbin gibt. Magst du mich daran teilhaben lassen mit welchem Regelwerk das zu bewerkstelligen ist ?
Andere Möglichkeit für mich wäre dann quasi loadbalancing (ist ja kein echtes was die pfsense macht, nur Gewichtung) 90% auf die zweite Wan Schnittstelle zu legen, um die Tunnel mit maximaler Performance laufen zu lassen. Aber es gibt ja noch Hoffnung wenn du sagst das dies "sehr einfach" um zu setzen ist.
Bitte warten ..
Mitglied: Spirit-of-Eli
19.10.2018 um 10:11 Uhr
Das einfachste wird sein es über PBR zu lösen.

Dabei definierst du in der Regel welches GW als breakout genutzt wird.
Bitte warten ..
Mitglied: DasBrot
19.10.2018 um 10:13 Uhr
@ChriBo
Das sieht vielversprechend aus.
Verwirren tut mich der letzte Teil
"Gateway selection is not valid for "IPV4+IPV6" address family."
Das verstehe ich so, das es eben nicht über dieses Gatewa geht ?
Bitte warten ..
Mitglied: DasBrot
19.10.2018, aktualisiert um 12:01 Uhr
@Spirit-of-Eli

Im Grunde ist dies das was ChriBo geschrieben hat oder ? " Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway"

Aber eben kein selbst angelegtes Gateway, sondern eine dort im Pull down angebotene WAN Schnittstelle. Richtig ?
Ich kann zur Zeit nur Trockenübungen machen. Der Hinweis
"Gateway selection is not valid for "IPV4+IPV6" address family pfsense" ist zu ignorieren ?
Bitte warten ..
Mitglied: Spirit-of-Eli
19.10.2018 um 12:37 Uhr
Zitat von DasBrot:

@Spirit-of-Eli

Im Grunde ist dies das was ChriBo geschrieben hat oder ? " Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway"

Aber eben kein selbst angelegtes Gateway, sondern eine dort im Pull down angebotene WAN Schnittstelle. Richtig ?
Ich kann zur Zeit nur Trockenübungen machen. Der Hinweis
"Gateway selection is not valid for "IPV4+IPV6" address family pfsense" ist zu ignorieren ?

Das ist korrekt, die Option funktioniert natürlich auch mit dynamischen Adressen.
Bitte warten ..
Mitglied: DasBrot
19.10.2018, aktualisiert um 12:56 Uhr
Ok also verstehe ich den Hinweis so, das man entweder ipv4 oder ipv6 in der Regel für das Gateway nutzen kann, nicht aber als Kombination in einer Regel Ipv4&ipv6. Ich kann die Config hoffentlich Montag testen.
Bitte warten ..
Mitglied: DasBrot
25.10.2018 um 14:57 Uhr
@Spirit-of-Eli
@ChriBo


Hallo, das hat leider nicht geklappt. Es scheint als würde das Gateway ignoriert.
Merkwürdigerweise habe ich Internet mit beiden gateways. Also wenn ich nur WAN1 einstecke habe ich mit dem WAN1 Gateway in der Regel Internet. Aber wenn ich WAN2 einstöpsel und WAN1 ziehe, habe ich mit der selben Regel auch Internet ....
Was habe ich übersehen ?
Bitte warten ..
Mitglied: aqui
26.10.2018 um 12:09 Uhr
habe ich mit der selben Regel auch Internet
Das sollte doch auch so sein !
Bei einem Totalausfall von WAN 1 (was das Herausziehen ja ist) sollte doch dann der Backup auch über WAN 2 laufen um nicht einen Ausfall zu provozieren.
Im Normalfall wenn beide Ports aktiv sind geht dann eben wieder der eine Traffic rein nur auf WAN 1 und der andere rein nur auf WAN 2.
So sollte es doch auch sinnvoll sein, oder ?
Bitte warten ..
Mitglied: DasBrot
26.10.2018 um 14:24 Uhr
Schwer zu testen dann. Ich wollte schauen ob es geht, ob ich Internet habe mit Lan 2 und eigestöpseltem Wan 1 Aber dieses Failsafe erfordert doch mehr, wie nur das Eintragen eines Gateways ? Mit Ping ziel etc, und zusätzlichen Gateways...

Also Standard Gateway auf Automatik lassen. Dann muss ichs wohl wirklich im Echtbetrieb testen ....
Bitte warten ..
Mitglied: aqui
26.10.2018 um 16:37 Uhr
Schwer zu testen dann.
Nöö, wieso ??
Wireshark ist hier wie immer dein bester Freund !!!
Aber dieses Failsafe erfordert doch mehr, wie nur das Eintragen eines Gateways ?
Äääähhh ja... Logisch, denn der Router/FW muss ja erkennen ob das Interface aktiv oder inaktiv ist und muss dann den Traffic entsprechend umrouten.
Das sagt einem ja schon der gesunde Menschenverstand das es mit einem simplen Gateway Eintrag da nicht erledigt ist....
Bitte warten ..
Mitglied: DasBrot
26.10.2018, aktualisiert um 19:35 Uhr
Ja genau das meinte ich doch. Du meintest das Verhalten wäre normal ;). Das ist doch ein Zeichen dafür das es im Moment quasi ignoriert wird ? und halt irgent eine Wan Schnittstelle genommen wird. ? Ich will ja kein Fail Safe oder Loadbalancing .... Nur den Traffic trennen. Das scheint in der pfsense nicht vorgesehen. Ich habe mittels regeln den netzen Gateways vorgegeben. Das scheint nicht zu funktionieren.
Ich werde also wohl eine Krücke versuchen und Loadbalancing versuchen so ein zu stellen das eine Schnittstelle fast garnicht benutzt wird, und für vpn bleibt. Leider war die Kostenpflichtige Anleitung für den Popo. Sehr alt, (2016) und nicht detailiert. Man soll weitere Gateways einrichten. ... punkt. Ich weis nicht was Heise da geritten hat das Anleitung zu nennen.
Bitte warten ..
Mitglied: aqui
LÖSUNG 27.10.2018 um 12:13 Uhr
Das ist doch ein Zeichen dafür das es im Moment quasi ignoriert wird ?
Wenn du mit "Moment" den Zusatnd meinst wo du WAN1 abgezogen hast dann ja !
Ist doch auch logisch, denn wenn du über die Regel den Traffic von IP Netz xyz über WAN1 und den von zyx über WAN2 laufen lassen willst klappt das ja auch wenn beide WAN Ports aktiv sind !
Fällt WAN1 aus, dann willst du doch sicher nicht das dein Traffic von xyz dann tot ist, oder ?
Dann sollte er sinnigerweise ja als Failover über WAN2 laufen und auch umgekehrt.
Das wäre ja ein sinnvolles Balancing und Failover Verhalten.
Es sei denn natürlich du willst dieses Failover Verhalten nicht ?!
Ich will ja kein Fail Safe oder Loadbalancing ....
OK, du willst es also explizit.
Gut, das geht auch wenn du kein Failover machst und diese Regel "sticky" konfigurierst. Dann gibt es kein Failover und der xyz Traffic stirbt wenn WAN 1 weg ist.
Natürlich kann die pfSense das auch.
Die aktuelle Doku dazu findest du hier:
https://www.netgate.com/docs/pfsense/routing/multi-wan.html
Bitte warten ..
Mitglied: DasBrot
22.11.2018 um 11:05 Uhr
Vielen Dank.

Das hat soweit geklappt.
Es läuft jetzt einige Wochen Stabil, und scheint auch zu tun was es soll.
Bitte warten ..
Mitglied: aqui
22.11.2018 um 11:21 Uhr
Glückwunsch ! Hört sich gut an.
Ggf. wäre mal ein (anonymisierter) Screenshot deines Setups hier hilfreich für andere die sowas auch realisieren ?!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

LAN (WAN) mit ständigen Unterbrechungen

Frage von BrudschgoLAN, WAN, Wireless10 Kommentare

Hallo zusammen. Eine merkwürdige Erscheinung fand ich bei einem Freund. Versuche ich auf das NAS zuzugreifen oder zu surfen ...

LAN, WAN, Wireless

Kaufempfehlung Dual - Multi WAN

Frage von ProfilkillerLAN, WAN, Wireless7 Kommentare

Hallo zusammen, an unserem Standort ist die Internetanbindung schwach auf der Brust mit ↓ 16 Mbit/s ↑ 1,0 Mbit/s. ...

LAN, WAN, Wireless

Pfsense WAN und LAN welche IP?

Frage von Motte990LAN, WAN, Wireless24 Kommentare

Hallo ich beschäftige mich gerade mit Pfsense. Mein netz ist das der Fritzbox 192.168.178.0. 192.168.178.1 ist die Fritzbox 192.168.178.249 ...

Router & Routing

Pfsense - Ping von WAN zum LAN

gelöst Frage von RalphTRouter & Routing10 Kommentare

Hallo, ich habe hier eine pfSense-Firewall zwischen zwei LAN-Netze eingesetzt. Der WAN-Port der pfSense liegt am Netz 192.168.100.0/24. Der ...

Neue Wissensbeiträge
Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 - Jetzt in Deutsch verfügbar! (Windows 10 1903 Support)

Tipp von TrinXx vor 1 TagSicherheits-Tools1 Kommentar

Moin! Nach wochenlangem Warten wird Trend Micro das SP1 für WFBS 10 voraussichtlich am 26.08.19 veröffentlichen. Ich habe das ...

Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 2 TagenHyper-V4 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 2 TagenServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Information von Snowbird vor 4 TagenHumor (lol)9 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Heiß diskutierte Inhalte
Backup
Veeam Backup Endpoint Free sichert nicht alle Dateien in AppData
gelöst Frage von speedy26gonzalesBackup12 Kommentare

Hallo, ich sollte ein paar Dateien in C:\Users\xyc\AppData\Local\Microsoft\Outlook wieder herstellen. Auf dem Benutzerkonto ist in Outlook ein IMAP Konto ...

Server
Ein Server ins Haus stellen. Was brauche ich dafür?
Frage von JoschiTomServer10 Kommentare

Hallo Community, ich spiele mit dem Gedanken eine Server mir zu holen. Was brauche ich dafür? Und wie sind ...

Windows 10
Windows 10 Backup auf Netzwerk Storage
Frage von Futschel2608Windows 1010 Kommentare

Hallo geehrte Mitstreiter Innen, Wir wollen in unserer Windows 10 Domäne den Einzelnen Usern ermöglichen ihre Desktop PC's zusichern. ...

Batch & Shell
Mittels SED Text ersetzen in Anführungszeichen
gelöst Frage von nekronBatch & Shell9 Kommentare

Moin … bin nicht wirklich der SED/regex Mensch, vielleicht kann mir jemand auf die Schnelle Helfen :) ich habe ...