20
PFsense Multi WAN Multi Lan. Zwei Lan Schnittstellen verschiedene Wan Schnittstellen zuordnen
Hallo.
Ich habe eine PFSense mit zwei einwahl Wan Schnittstellen und 2 Lan Schnittstellen verschiedener IP Kreise.
Wie kann ich gewährleisten das die Adressen aus Lan 1 nur über Wan 1 ins Internet kommen, und die Adressen aus Lan 2 nur über Wan 2 ? Ich finde sehr viel zum Thema Failover und load balancing. Das hier soll aber nur zur Trennung des internettraffics sein. Gibt es da eine Möglichkeit ?Die Firewall regeln scheinen nicht der richtige Weg zu sein. Upstream Gateway klingt gut, verstehe ich aber nicht.
Hat jemand Lust zu helfen ?
Gruß
Bernd
Ich habe eine PFSense mit zwei einwahl Wan Schnittstellen und 2 Lan Schnittstellen verschiedener IP Kreise.
Wie kann ich gewährleisten das die Adressen aus Lan 1 nur über Wan 1 ins Internet kommen, und die Adressen aus Lan 2 nur über Wan 2 ? Ich finde sehr viel zum Thema Failover und load balancing. Das hier soll aber nur zur Trennung des internettraffics sein. Gibt es da eine Möglichkeit ?Die Firewall regeln scheinen nicht der richtige Weg zu sein. Upstream Gateway klingt gut, verstehe ich aber nicht.
Hat jemand Lust zu helfen ?
Gruß
Bernd
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389957
Url: https://administrator.de/contentid/389957
Ausgedruckt am: 17.11.2024 um 03:11 Uhr
20 Kommentare
Neuester Kommentar
Moin,
du könnstest Policy Based Routing nutzen oder dem LanInterface das entsprechende GW zuweisen.
Gruß
Spirit
du könnstest Policy Based Routing nutzen oder dem LanInterface das entsprechende GW zuweisen.
Gruß
Spirit
Dem Lan das entsprechende Gateway zuweisen klingt gut. Damit ist aber sicher nicht die externe ip der gewünschten Wan Schnittstelle gemeint, oder ? Wobei auch der erste Hop der Wan Schnittstelle ausserhalb nicht geht. Ich kann dort keine externe IP eintragen. (The gateway address xxx does not lie within one of the chosen interface's subnets. )Oder versuche ich es mit IPv4 Upstream gateway an der falschen Stelle ?
Mit den Firewall Rules versuche ich es gerade, aber ich glaube kaum das es so einfach ist, einfach Wan1 net als erlaube Destination ein zu tragen.
Mit den Firewall Rules versuche ich es gerade, aber ich glaube kaum das es so einfach ist, einfach Wan1 net als erlaube Destination ein zu tragen.
Das machst du mit entsprechende Rules bzw. Gateway Groups.
Alle Details dazu findest du in diesem Artikeln:
https://www.netgate.com/docs/pfsense/routing/multi-wan.html
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Alle Details dazu findest du in diesem Artikeln:
https://www.netgate.com/docs/pfsense/routing/multi-wan.html
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Hmm den ersten Link hatte ich gefunden, aber zunächst nur wieder etwas über load balancing und fail over gelesen. Das wäre hier ja nicht gewünscht. Ich schaue was ich übersehen habe.
Load Balancing kommt schon allein wegen der Tunnelverbindungen welche nur an einer Wan Verbindung anliegen nicht in Frage
Hintergrund ist, das die Tunnel und das Hauptnetz dediziert eine Wan Schnitstelle und dessen Bandbreite haben, und der ganze Rest über wan 2 raus geht.
Load Balancing kommt schon allein wegen der Tunnelverbindungen welche nur an einer Wan Verbindung anliegen nicht in Frage
Hintergrund ist, das die Tunnel und das Hauptnetz dediziert eine Wan Schnitstelle und dessen Bandbreite haben, und der ganze Rest über wan 2 raus geht.
Hallo,
Wahrscheinlich kannst du es nicht fest zuordnen (dh. LAN1 soll immer WAN1 nehmen und LAN2 soll immer WAN2 nehmen) sondern nur für einzelne Regeln: Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway bzw. LAN2-> Regel -> Advanced Options -> Gateway -> WAN2 Gateway.
CH
Wahrscheinlich kannst du es nicht fest zuordnen (dh. LAN1 soll immer WAN1 nehmen und LAN2 soll immer WAN2 nehmen) sondern nur für einzelne Regeln: Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway bzw. LAN2-> Regel -> Advanced Options -> Gateway -> WAN2 Gateway.
CH
Load Balancing kommt schon allein wegen der Tunnelverbindungen
Dort macht das Gerät ja auch per se kein Balancing. Wie sollte das denn auch gehen wenn du als VPN Peer Adresse eines der festen IPs an den WAN Anschlüssen angibst ?!Deine Konfig Vorgabe ist aber über das Regelwerk sehr einfach lösbar.
Das meinte ich damit das Load Balancing mit tunneln schwierig ist, wenn es nur round robbin gibt. Magst du mich daran teilhaben lassen mit welchem Regelwerk das zu bewerkstelligen ist ?
Andere Möglichkeit für mich wäre dann quasi loadbalancing (ist ja kein echtes was die pfsense macht, nur Gewichtung) 90% auf die zweite Wan Schnittstelle zu legen, um die Tunnel mit maximaler Performance laufen zu lassen. Aber es gibt ja noch Hoffnung wenn du sagst das dies "sehr einfach" um zu setzen ist.
Andere Möglichkeit für mich wäre dann quasi loadbalancing (ist ja kein echtes was die pfsense macht, nur Gewichtung) 90% auf die zweite Wan Schnittstelle zu legen, um die Tunnel mit maximaler Performance laufen zu lassen. Aber es gibt ja noch Hoffnung wenn du sagst das dies "sehr einfach" um zu setzen ist.
Das einfachste wird sein es über PBR zu lösen.
Dabei definierst du in der Regel welches GW als breakout genutzt wird.
Dabei definierst du in der Regel welches GW als breakout genutzt wird.
@ChriBo
Das sieht vielversprechend aus.
Verwirren tut mich der letzte Teil
"Gateway selection is not valid for "IPV4+IPV6" address family."
Das verstehe ich so, das es eben nicht über dieses Gatewa geht ?
Das sieht vielversprechend aus.
Verwirren tut mich der letzte Teil
"Gateway selection is not valid for "IPV4+IPV6" address family."
Das verstehe ich so, das es eben nicht über dieses Gatewa geht ?
@Spirit-of-Eli
Im Grunde ist dies das was ChriBo geschrieben hat oder ? " Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway"
Aber eben kein selbst angelegtes Gateway, sondern eine dort im Pull down angebotene WAN Schnittstelle. Richtig ?
Ich kann zur Zeit nur Trockenübungen machen. Der Hinweis
"Gateway selection is not valid for "IPV4+IPV6" address family pfsense" ist zu ignorieren ?
Im Grunde ist dies das was ChriBo geschrieben hat oder ? " Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway"
Aber eben kein selbst angelegtes Gateway, sondern eine dort im Pull down angebotene WAN Schnittstelle. Richtig ?
Ich kann zur Zeit nur Trockenübungen machen. Der Hinweis
"Gateway selection is not valid for "IPV4+IPV6" address family pfsense" ist zu ignorieren ?
Zitat von @DasBrot:
@Spirit-of-Eli
Im Grunde ist dies das was ChriBo geschrieben hat oder ? " Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway"
Aber eben kein selbst angelegtes Gateway, sondern eine dort im Pull down angebotene WAN Schnittstelle. Richtig ?
Ich kann zur Zeit nur Trockenübungen machen. Der Hinweis
"Gateway selection is not valid for "IPV4+IPV6" address family pfsense" ist zu ignorieren ?
@Spirit-of-Eli
Im Grunde ist dies das was ChriBo geschrieben hat oder ? " Firewall -> Rules -> LAN1-> Regel -> Advanced Options -> Gateway -> WAN1 Gateway"
Aber eben kein selbst angelegtes Gateway, sondern eine dort im Pull down angebotene WAN Schnittstelle. Richtig ?
Ich kann zur Zeit nur Trockenübungen machen. Der Hinweis
"Gateway selection is not valid for "IPV4+IPV6" address family pfsense" ist zu ignorieren ?
Das ist korrekt, die Option funktioniert natürlich auch mit dynamischen Adressen.
Ok also verstehe ich den Hinweis so, das man entweder ipv4 oder ipv6 in der Regel für das Gateway nutzen kann, nicht aber als Kombination in einer Regel Ipv4&ipv6. Ich kann die Config hoffentlich Montag testen.
@Spirit-of-Eli
@ChriBo
Hallo, das hat leider nicht geklappt. Es scheint als würde das Gateway ignoriert.
Merkwürdigerweise habe ich Internet mit beiden gateways. Also wenn ich nur WAN1 einstecke habe ich mit dem WAN1 Gateway in der Regel Internet. Aber wenn ich WAN2 einstöpsel und WAN1 ziehe, habe ich mit der selben Regel auch Internet ....
Was habe ich übersehen ?
@ChriBo
Hallo, das hat leider nicht geklappt. Es scheint als würde das Gateway ignoriert.
Merkwürdigerweise habe ich Internet mit beiden gateways. Also wenn ich nur WAN1 einstecke habe ich mit dem WAN1 Gateway in der Regel Internet. Aber wenn ich WAN2 einstöpsel und WAN1 ziehe, habe ich mit der selben Regel auch Internet ....
Was habe ich übersehen ?
habe ich mit der selben Regel auch Internet
Das sollte doch auch so sein !Bei einem Totalausfall von WAN 1 (was das Herausziehen ja ist) sollte doch dann der Backup auch über WAN 2 laufen um nicht einen Ausfall zu provozieren.
Im Normalfall wenn beide Ports aktiv sind geht dann eben wieder der eine Traffic rein nur auf WAN 1 und der andere rein nur auf WAN 2.
So sollte es doch auch sinnvoll sein, oder ?
Schwer zu testen dann. Ich wollte schauen ob es geht, ob ich Internet habe mit Lan 2 und eigestöpseltem Wan 1 Aber dieses Failsafe erfordert doch mehr, wie nur das Eintragen eines Gateways ? Mit Ping ziel etc, und zusätzlichen Gateways...
Also Standard Gateway auf Automatik lassen. Dann muss ichs wohl wirklich im Echtbetrieb testen ....
Also Standard Gateway auf Automatik lassen. Dann muss ichs wohl wirklich im Echtbetrieb testen ....
Schwer zu testen dann.
Nöö, wieso ??Wireshark ist hier wie immer dein bester Freund !!!
Aber dieses Failsafe erfordert doch mehr, wie nur das Eintragen eines Gateways ?
Äääähhh ja... Logisch, denn der Router/FW muss ja erkennen ob das Interface aktiv oder inaktiv ist und muss dann den Traffic entsprechend umrouten.Das sagt einem ja schon der gesunde Menschenverstand das es mit einem simplen Gateway Eintrag da nicht erledigt ist....
Ja genau das meinte ich doch. Du meintest das Verhalten wäre normal ;). Das ist doch ein Zeichen dafür das es im Moment quasi ignoriert wird ? und halt irgent eine Wan Schnittstelle genommen wird. ? Ich will ja kein Fail Safe oder Loadbalancing .... Nur den Traffic trennen. Das scheint in der pfsense nicht vorgesehen. Ich habe mittels regeln den netzen Gateways vorgegeben. Das scheint nicht zu funktionieren.
Ich werde also wohl eine Krücke versuchen und Loadbalancing versuchen so ein zu stellen das eine Schnittstelle fast garnicht benutzt wird, und für vpn bleibt. Leider war die Kostenpflichtige Anleitung für den Popo. Sehr alt, (2016) und nicht detailiert. Man soll weitere Gateways einrichten. ... punkt. Ich weis nicht was Heise da geritten hat das Anleitung zu nennen.
Ich werde also wohl eine Krücke versuchen und Loadbalancing versuchen so ein zu stellen das eine Schnittstelle fast garnicht benutzt wird, und für vpn bleibt. Leider war die Kostenpflichtige Anleitung für den Popo. Sehr alt, (2016) und nicht detailiert. Man soll weitere Gateways einrichten. ... punkt. Ich weis nicht was Heise da geritten hat das Anleitung zu nennen.
Das ist doch ein Zeichen dafür das es im Moment quasi ignoriert wird ?
Wenn du mit "Moment" den Zusatnd meinst wo du WAN1 abgezogen hast dann ja !Ist doch auch logisch, denn wenn du über die Regel den Traffic von IP Netz xyz über WAN1 und den von zyx über WAN2 laufen lassen willst klappt das ja auch wenn beide WAN Ports aktiv sind !
Fällt WAN1 aus, dann willst du doch sicher nicht das dein Traffic von xyz dann tot ist, oder ?
Dann sollte er sinnigerweise ja als Failover über WAN2 laufen und auch umgekehrt.
Das wäre ja ein sinnvolles Balancing und Failover Verhalten.
Es sei denn natürlich du willst dieses Failover Verhalten nicht ?!
Ich will ja kein Fail Safe oder Loadbalancing ....
OK, du willst es also explizit.Gut, das geht auch wenn du kein Failover machst und diese Regel "sticky" konfigurierst. Dann gibt es kein Failover und der xyz Traffic stirbt wenn WAN 1 weg ist.
Natürlich kann die pfSense das auch.
Die aktuelle Doku dazu findest du hier:
https://www.netgate.com/docs/pfsense/routing/multi-wan.html
Vielen Dank.
Das hat soweit geklappt.
Es läuft jetzt einige Wochen Stabil, und scheint auch zu tun was es soll.
Das hat soweit geklappt.
Es läuft jetzt einige Wochen Stabil, und scheint auch zu tun was es soll.
Glückwunsch ! Hört sich gut an.
Ggf. wäre mal ein (anonymisierter) Screenshot deines Setups hier hilfreich für andere die sowas auch realisieren ?!
Ggf. wäre mal ein (anonymisierter) Screenshot deines Setups hier hilfreich für andere die sowas auch realisieren ?!
