dasbrot
Goto Top

PFsense Multi WAN Multi Lan. Zwei Lan Schnittstellen verschiedene Wan Schnittstellen zuordnen

Hallo.

Ich habe eine PFSense mit zwei einwahl Wan Schnittstellen und 2 Lan Schnittstellen verschiedener IP Kreise.
Wie kann ich gewährleisten das die Adressen aus Lan 1 nur über Wan 1 ins Internet kommen, und die Adressen aus Lan 2 nur über Wan 2 ? Ich finde sehr viel zum Thema Failover und load balancing. Das hier soll aber nur zur Trennung des internettraffics sein. Gibt es da eine Möglichkeit ?Die Firewall regeln scheinen nicht der richtige Weg zu sein. Upstream Gateway klingt gut, verstehe ich aber nicht.
Hat jemand Lust zu helfen ?

Gruß
Bernd

Content-ID: 389957

Url: https://administrator.de/contentid/389957

Ausgedruckt am: 19.12.2024 um 11:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 18.10.2018 um 13:52:51 Uhr
Goto Top
Moin,

du könnstest Policy Based Routing nutzen oder dem LanInterface das entsprechende GW zuweisen.

Gruß
Spirit
DasBrot
DasBrot 18.10.2018 aktualisiert um 14:26:02 Uhr
Goto Top
Dem Lan das entsprechende Gateway zuweisen klingt gut. Damit ist aber sicher nicht die externe ip der gewünschten Wan Schnittstelle gemeint, oder ? Wobei auch der erste Hop der Wan Schnittstelle ausserhalb nicht geht. Ich kann dort keine externe IP eintragen. (The gateway address xxx does not lie within one of the chosen interface's subnets. )Oder versuche ich es mit IPv4 Upstream gateway an der falschen Stelle ?
Mit den Firewall Rules versuche ich es gerade, aber ich glaube kaum das es so einfach ist, einfach Wan1 net als erlaube Destination ein zu tragen.
aqui
aqui 18.10.2018 aktualisiert um 14:37:47 Uhr
Goto Top
Das machst du mit entsprechende Rules bzw. Gateway Groups.
Alle Details dazu findest du in diesem Artikeln:
https://www.netgate.com/docs/pfsense/routing/multi-wan.html
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
DasBrot
DasBrot 18.10.2018 aktualisiert um 15:27:18 Uhr
Goto Top
Hmm den ersten Link hatte ich gefunden, aber zunächst nur wieder etwas über load balancing und fail over gelesen. Das wäre hier ja nicht gewünscht. Ich schaue was ich übersehen habe.
Load Balancing kommt schon allein wegen der Tunnelverbindungen welche nur an einer Wan Verbindung anliegen nicht in Frage
Hintergrund ist, das die Tunnel und das Hauptnetz dediziert eine Wan Schnitstelle und dessen Bandbreite haben, und der ganze Rest über wan 2 raus geht.
ChriBo
Lösung ChriBo 18.10.2018 um 18:56:16 Uhr
Goto Top
Hallo,
Wahrscheinlich kannst du es nicht fest zuordnen (dh. LAN1 soll immer WAN1 nehmen und LAN2 soll immer WAN2 nehmen) sondern nur für einzelne Regeln: Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway bzw. LAN2-> Regel -> Advanced Options -> Gateway -> WAN2 Gateway.

CH
aqui
aqui 19.10.2018 aktualisiert um 08:06:14 Uhr
Goto Top
Load Balancing kommt schon allein wegen der Tunnelverbindungen
Dort macht das Gerät ja auch per se kein Balancing. Wie sollte das denn auch gehen wenn du als VPN Peer Adresse eines der festen IPs an den WAN Anschlüssen angibst ?!
Deine Konfig Vorgabe ist aber über das Regelwerk sehr einfach lösbar.
DasBrot
DasBrot 19.10.2018 um 10:07:00 Uhr
Goto Top
Das meinte ich damit das Load Balancing mit tunneln schwierig ist, wenn es nur round robbin gibt. Magst du mich daran teilhaben lassen mit welchem Regelwerk das zu bewerkstelligen ist ?
Andere Möglichkeit für mich wäre dann quasi loadbalancing (ist ja kein echtes was die pfsense macht, nur Gewichtung) 90% auf die zweite Wan Schnittstelle zu legen, um die Tunnel mit maximaler Performance laufen zu lassen. Aber es gibt ja noch Hoffnung wenn du sagst das dies "sehr einfach" um zu setzen ist.
Spirit-of-Eli
Spirit-of-Eli 19.10.2018 um 10:11:12 Uhr
Goto Top
Das einfachste wird sein es über PBR zu lösen.

Dabei definierst du in der Regel welches GW als breakout genutzt wird.
DasBrot
DasBrot 19.10.2018 um 10:13:20 Uhr
Goto Top
@ChriBo
Das sieht vielversprechend aus.
Verwirren tut mich der letzte Teil
"Gateway selection is not valid for "IPV4+IPV6" address family."
Das verstehe ich so, das es eben nicht über dieses Gatewa geht ?
DasBrot
DasBrot 19.10.2018 aktualisiert um 12:01:49 Uhr
Goto Top
@Spirit-of-Eli

Im Grunde ist dies das was ChriBo geschrieben hat oder ? " Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway"

Aber eben kein selbst angelegtes Gateway, sondern eine dort im Pull down angebotene WAN Schnittstelle. Richtig ?
Ich kann zur Zeit nur Trockenübungen machen. Der Hinweis
"Gateway selection is not valid for "IPV4+IPV6" address family pfsense" ist zu ignorieren ?
Spirit-of-Eli
Spirit-of-Eli 19.10.2018 um 12:37:55 Uhr
Goto Top
Zitat von @DasBrot:

@Spirit-of-Eli

Im Grunde ist dies das was ChriBo geschrieben hat oder ? " Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway"

Aber eben kein selbst angelegtes Gateway, sondern eine dort im Pull down angebotene WAN Schnittstelle. Richtig ?
Ich kann zur Zeit nur Trockenübungen machen. Der Hinweis
"Gateway selection is not valid for "IPV4+IPV6" address family pfsense" ist zu ignorieren ?

Das ist korrekt, die Option funktioniert natürlich auch mit dynamischen Adressen.
DasBrot
DasBrot 19.10.2018 aktualisiert um 12:56:02 Uhr
Goto Top
Ok also verstehe ich den Hinweis so, das man entweder ipv4 oder ipv6 in der Regel für das Gateway nutzen kann, nicht aber als Kombination in einer Regel Ipv4&ipv6. Ich kann die Config hoffentlich Montag testen.
DasBrot
DasBrot 25.10.2018 um 14:57:54 Uhr
Goto Top
@Spirit-of-Eli
@ChriBo


Hallo, das hat leider nicht geklappt. Es scheint als würde das Gateway ignoriert.
Merkwürdigerweise habe ich Internet mit beiden gateways. Also wenn ich nur WAN1 einstecke habe ich mit dem WAN1 Gateway in der Regel Internet. Aber wenn ich WAN2 einstöpsel und WAN1 ziehe, habe ich mit der selben Regel auch Internet ....
Was habe ich übersehen ?
aqui
aqui 26.10.2018 um 12:09:06 Uhr
Goto Top
habe ich mit der selben Regel auch Internet
Das sollte doch auch so sein !
Bei einem Totalausfall von WAN 1 (was das Herausziehen ja ist) sollte doch dann der Backup auch über WAN 2 laufen um nicht einen Ausfall zu provozieren.
Im Normalfall wenn beide Ports aktiv sind geht dann eben wieder der eine Traffic rein nur auf WAN 1 und der andere rein nur auf WAN 2.
So sollte es doch auch sinnvoll sein, oder ?
DasBrot
DasBrot 26.10.2018 um 14:24:14 Uhr
Goto Top
Schwer zu testen dann. Ich wollte schauen ob es geht, ob ich Internet habe mit Lan 2 und eigestöpseltem Wan 1 Aber dieses Failsafe erfordert doch mehr, wie nur das Eintragen eines Gateways ? Mit Ping ziel etc, und zusätzlichen Gateways...

Also Standard Gateway auf Automatik lassen. Dann muss ichs wohl wirklich im Echtbetrieb testen ....
aqui
aqui 26.10.2018 um 16:37:14 Uhr
Goto Top
Schwer zu testen dann.
Nöö, wieso ??
Wireshark ist hier wie immer dein bester Freund !!! face-wink
Aber dieses Failsafe erfordert doch mehr, wie nur das Eintragen eines Gateways ?
Äääähhh ja... Logisch, denn der Router/FW muss ja erkennen ob das Interface aktiv oder inaktiv ist und muss dann den Traffic entsprechend umrouten.
Das sagt einem ja schon der gesunde Menschenverstand das es mit einem simplen Gateway Eintrag da nicht erledigt ist.... face-wink
DasBrot
DasBrot 26.10.2018 aktualisiert um 19:35:41 Uhr
Goto Top
Ja genau das meinte ich doch. Du meintest das Verhalten wäre normal ;). Das ist doch ein Zeichen dafür das es im Moment quasi ignoriert wird ? und halt irgent eine Wan Schnittstelle genommen wird. ? Ich will ja kein Fail Safe oder Loadbalancing .... Nur den Traffic trennen. Das scheint in der pfsense nicht vorgesehen. Ich habe mittels regeln den netzen Gateways vorgegeben. Das scheint nicht zu funktionieren.
Ich werde also wohl eine Krücke versuchen und Loadbalancing versuchen so ein zu stellen das eine Schnittstelle fast garnicht benutzt wird, und für vpn bleibt. Leider war die Kostenpflichtige Anleitung für den Popo. Sehr alt, (2016) und nicht detailiert. Man soll weitere Gateways einrichten. ... punkt. Ich weis nicht was Heise da geritten hat das Anleitung zu nennen.
aqui
Lösung aqui 27.10.2018 um 12:13:45 Uhr
Goto Top
Das ist doch ein Zeichen dafür das es im Moment quasi ignoriert wird ?
Wenn du mit "Moment" den Zusatnd meinst wo du WAN1 abgezogen hast dann ja !
Ist doch auch logisch, denn wenn du über die Regel den Traffic von IP Netz xyz über WAN1 und den von zyx über WAN2 laufen lassen willst klappt das ja auch wenn beide WAN Ports aktiv sind !
Fällt WAN1 aus, dann willst du doch sicher nicht das dein Traffic von xyz dann tot ist, oder ?
Dann sollte er sinnigerweise ja als Failover über WAN2 laufen und auch umgekehrt.
Das wäre ja ein sinnvolles Balancing und Failover Verhalten.
Es sei denn natürlich du willst dieses Failover Verhalten nicht ?!
Ich will ja kein Fail Safe oder Loadbalancing ....
OK, du willst es also explizit.
Gut, das geht auch wenn du kein Failover machst und diese Regel "sticky" konfigurierst. Dann gibt es kein Failover und der xyz Traffic stirbt wenn WAN 1 weg ist.
Natürlich kann die pfSense das auch.
Die aktuelle Doku dazu findest du hier:
https://www.netgate.com/docs/pfsense/routing/multi-wan.html
DasBrot
DasBrot 22.11.2018 um 11:05:13 Uhr
Goto Top
Vielen Dank.

Das hat soweit geklappt.
Es läuft jetzt einige Wochen Stabil, und scheint auch zu tun was es soll.
aqui
aqui 22.11.2018 um 11:21:40 Uhr
Goto Top
Glückwunsch ! Hört sich gut an. face-wink
Ggf. wäre mal ein (anonymisierter) Screenshot deines Setups hier hilfreich für andere die sowas auch realisieren ?!