6
PfSense WAN Failover-Gateway mit VLANs konfigurieren
Moin, moin,
ich benötige ein wenig Hilfe bei der Einrichtung einer pfSense Firewall.
Ich habe zwei WAN Leitungen. Die pfSense kann über PPPOE grundsätzlich auf die Internetanschlüsse zugreifen.
Aus den diversen VLANs funktioniert der Zugriff auf das WAN 1 Gateway derzeit problemlos. Nun möchte ich gerne das WAN2 Gateway als Failover-Gateway hinzufügen.
Anhand der folgenden Anleitungen wird deutlich, dass man die WAN Leitungen zu einer Gruppe zusammenfassen muss.
https://doc.pfsense.org/index.php/Multi-WAN
http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfse ...
Nachdem ich die Gruppen erstellt habe, fehlt mir aber irgendwie der Schritt, wie ich die aus den VLANs kommenden Datenpakete auf diese Gruppe umgebogen bekomme.
Abgesehen von den VLANs ist die Konfiguration der pfSense (in der Laborumgebung) nahezu jungfräulich. Es gibt lediglich Any-Firewallregeln. Outbound: "Automatic outbound NAT rule generation."
Welche Firewallregeln muss ich hinterlegen um folgendes Konstrukt abzubilden?
VLAN 1:
- Interner Traffic soll in jedes andere VLAN gelangen können
- Zugriffe auf das Internet sollen in die Gateway Group "DSL_Failover" geleitet werden.
VLAN 2:
- Interner Traffic darf das VLAN nicht verlassen. Pakete ins Internet sollen in "DSL_Failover" geleitet werden.
VLAN 3:
- Interner Traffic darf das VLAN nicht verlassen. Pakete ins Internet sollen zum "WAN1" geleitet werden.
Vielen Dank
Beste Grüße
ich benötige ein wenig Hilfe bei der Einrichtung einer pfSense Firewall.
Ich habe zwei WAN Leitungen. Die pfSense kann über PPPOE grundsätzlich auf die Internetanschlüsse zugreifen.
Aus den diversen VLANs funktioniert der Zugriff auf das WAN 1 Gateway derzeit problemlos. Nun möchte ich gerne das WAN2 Gateway als Failover-Gateway hinzufügen.
Anhand der folgenden Anleitungen wird deutlich, dass man die WAN Leitungen zu einer Gruppe zusammenfassen muss.
https://doc.pfsense.org/index.php/Multi-WAN
http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfse ...
Nachdem ich die Gruppen erstellt habe, fehlt mir aber irgendwie der Schritt, wie ich die aus den VLANs kommenden Datenpakete auf diese Gruppe umgebogen bekomme.
Abgesehen von den VLANs ist die Konfiguration der pfSense (in der Laborumgebung) nahezu jungfräulich. Es gibt lediglich Any-Firewallregeln. Outbound: "Automatic outbound NAT rule generation."
Welche Firewallregeln muss ich hinterlegen um folgendes Konstrukt abzubilden?
VLAN 1:
- Interner Traffic soll in jedes andere VLAN gelangen können
- Zugriffe auf das Internet sollen in die Gateway Group "DSL_Failover" geleitet werden.
VLAN 2:
- Interner Traffic darf das VLAN nicht verlassen. Pakete ins Internet sollen in "DSL_Failover" geleitet werden.
VLAN 3:
- Interner Traffic darf das VLAN nicht verlassen. Pakete ins Internet sollen zum "WAN1" geleitet werden.
Vielen Dank
Beste Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325570
Url: https://administrator.de/contentid/325570
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
du konfigurierst deine WAN Gateways, deine Failover-Gruppen und zum Schluss wählst du diese in den Firewall Regeln "unten" (hab aktuell noch 2.2.6 produktiv laufen) bei Gateway für jede Firewall Regel einzeln aus.
Damit kannst du problemlos jedes Szenario abbilden.
VG
Val
du konfigurierst deine WAN Gateways, deine Failover-Gruppen und zum Schluss wählst du diese in den Firewall Regeln "unten" (hab aktuell noch 2.2.6 produktiv laufen) bei Gateway für jede Firewall Regel einzeln aus.
Damit kannst du problemlos jedes Szenario abbilden.
VG
Val
Du klassifizierst das Failover Gateway mit einem ganz normalen Regelset. Sieh dir sonst mal die ct' Beschreibung an zu dem Thema, dort ist das auch abgehandelt:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Den Overhead dort mit dem remoten Zugriff kannst du dir wegdenken.
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Den Overhead dort mit dem remoten Zugriff kannst du dir wegdenken.
Vielen Dank für den Hinweis auf den ct Artikel.
Leider wird dort auf meine Fragestellung auch nur mit einem einzigen Satz eingegangen. Und das ist der Selbe wie im pfSense Wiki.
Daher noch mal konkret die Frage:
Um den nach extern gehenden HTTP Traffic auf die Gateway Group umzuleiten, erstelle ich in dem betreffenden VLAN eine neue Regel, die HTTP in die Gateway Gruppe schiebt.
Wie fange ich dann den HTTP Traffic ab, der lediglich auf eine IP in einem anderen (internen) VLAN geht? Die Pakete sollen ja nicht in die Gateway Group.
Geht das über die "Destination" Einstellung in der Regel? Und falls ja, was muss man dann da hinterlegen?
Leider wird dort auf meine Fragestellung auch nur mit einem einzigen Satz eingegangen. Und das ist der Selbe wie im pfSense Wiki.
Daher noch mal konkret die Frage:
Um den nach extern gehenden HTTP Traffic auf die Gateway Group umzuleiten, erstelle ich in dem betreffenden VLAN eine neue Regel, die HTTP in die Gateway Gruppe schiebt.
Wie fange ich dann den HTTP Traffic ab, der lediglich auf eine IP in einem anderen (internen) VLAN geht? Die Pakete sollen ja nicht in die Gateway Group.
Geht das über die "Destination" Einstellung in der Regel? Und falls ja, was muss man dann da hinterlegen?
Also erstmal solltest du eine Regel für den Traffic ins Internet haben und eine Regel für den Traffic zwischen den VLANs (natürlich mehr als eine).
Und du wählst einfach bei der Regel ins Internet dein gewünschtes Gateway aus. Ist doch absolut easy!
VG
Val
Und du wählst einfach bei der Regel ins Internet dein gewünschtes Gateway aus. Ist doch absolut easy!
VG
Val
Zitat von @119944:
Ist doch absolut easy!
Ist doch absolut easy!
Ja schon, aber irgendwie bedient es sich so komplett anders, als ich es von Watchguard gewohnt bin.
Für nachfolgende Googler die (minimalistische) Konfiguration, mit der ich das im Eingangspost niedergeschriebene Beispiel umgesetzt habe.
Die VLANs haben die Netze
172.17.1.0/24
172.17.2.0/24
172.17.3.0/24
WAN 1 ist als Standardgateway in der pfSense konfiguriert.
Ein Alias "vlan_intern" für das Netz 172.17.0.0/16 anlegen
Regeln für Interface VLAN 1:
Regel für Interface VLAN 2:
Regel für Interface VLAN 3:
Die VLANs haben die Netze
172.17.1.0/24
172.17.2.0/24
172.17.3.0/24
WAN 1 ist als Standardgateway in der pfSense konfiguriert.
Ein Alias "vlan_intern" für das Netz 172.17.0.0/16 anlegen
Regeln für Interface VLAN 1:
- Protocol: any, Destination: Single host or alias vlan_intern
- Protocol: any, Destination: Invert match Single host or alias vlan_intern, Gateway: dsl_failover
Regel für Interface VLAN 2:
- Protocol: any, Destination: Invert match Single host or alias vlan_intern, Gateway: dsl_failover
Regel für Interface VLAN 3:
- Protocol: any, Destination: Invert match Single host or alias vlan_intern
