androxin
Goto Top

PfSense WAN Failover-Gateway mit VLANs konfigurieren

Moin, moin,

ich benötige ein wenig Hilfe bei der Einrichtung einer pfSense Firewall.

Ich habe zwei WAN Leitungen. Die pfSense kann über PPPOE grundsätzlich auf die Internetanschlüsse zugreifen.

Aus den diversen VLANs funktioniert der Zugriff auf das WAN 1 Gateway derzeit problemlos. Nun möchte ich gerne das WAN2 Gateway als Failover-Gateway hinzufügen.

Anhand der folgenden Anleitungen wird deutlich, dass man die WAN Leitungen zu einer Gruppe zusammenfassen muss.
https://doc.pfsense.org/index.php/Multi-WAN
http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfse ...

Nachdem ich die Gruppen erstellt habe, fehlt mir aber irgendwie der Schritt, wie ich die aus den VLANs kommenden Datenpakete auf diese Gruppe umgebogen bekomme.

Abgesehen von den VLANs ist die Konfiguration der pfSense (in der Laborumgebung) nahezu jungfräulich. Es gibt lediglich Any-Firewallregeln. Outbound: "Automatic outbound NAT rule generation."


Welche Firewallregeln muss ich hinterlegen um folgendes Konstrukt abzubilden?
VLAN 1:
- Interner Traffic soll in jedes andere VLAN gelangen können
- Zugriffe auf das Internet sollen in die Gateway Group "DSL_Failover" geleitet werden.

VLAN 2:
- Interner Traffic darf das VLAN nicht verlassen. Pakete ins Internet sollen in "DSL_Failover" geleitet werden.

VLAN 3:
- Interner Traffic darf das VLAN nicht verlassen. Pakete ins Internet sollen zum "WAN1" geleitet werden.

Vielen Dank

Beste Grüße

Content-ID: 325570

Url: https://administrator.de/forum/pfsense-wan-failover-gateway-mit-vlans-konfigurieren-325570.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

119944
119944 05.01.2017 um 15:37:59 Uhr
Goto Top
Moin,

du konfigurierst deine WAN Gateways, deine Failover-Gruppen und zum Schluss wählst du diese in den Firewall Regeln "unten" (hab aktuell noch 2.2.6 produktiv laufen) bei Gateway für jede Firewall Regel einzeln aus.

Damit kannst du problemlos jedes Szenario abbilden.

VG
Val
aqui
aqui 05.01.2017 um 15:38:06 Uhr
Goto Top
Du klassifizierst das Failover Gateway mit einem ganz normalen Regelset. Sieh dir sonst mal die ct' Beschreibung an zu dem Thema, dort ist das auch abgehandelt:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...

Den Overhead dort mit dem remoten Zugriff kannst du dir wegdenken.
Androxin
Androxin 05.01.2017 aktualisiert um 16:14:37 Uhr
Goto Top
Vielen Dank für den Hinweis auf den ct Artikel.

Leider wird dort auf meine Fragestellung auch nur mit einem einzigen Satz eingegangen. Und das ist der Selbe wie im pfSense Wiki. face-wink

Daher noch mal konkret die Frage:
Um den nach extern gehenden HTTP Traffic auf die Gateway Group umzuleiten, erstelle ich in dem betreffenden VLAN eine neue Regel, die HTTP in die Gateway Gruppe schiebt.

Wie fange ich dann den HTTP Traffic ab, der lediglich auf eine IP in einem anderen (internen) VLAN geht? Die Pakete sollen ja nicht in die Gateway Group.
Geht das über die "Destination" Einstellung in der Regel? Und falls ja, was muss man dann da hinterlegen?
119944
Lösung 119944 05.01.2017 um 18:23:47 Uhr
Goto Top
Also erstmal solltest du eine Regel für den Traffic ins Internet haben und eine Regel für den Traffic zwischen den VLANs (natürlich mehr als eine).

Und du wählst einfach bei der Regel ins Internet dein gewünschtes Gateway aus. Ist doch absolut easy!

VG
Val
Androxin
Androxin 06.01.2017 um 12:04:07 Uhr
Goto Top
Zitat von @119944:

Ist doch absolut easy!

Ja schon, aber irgendwie bedient es sich so komplett anders, als ich es von Watchguard gewohnt bin. face-wink
Androxin
Androxin 10.01.2017 um 16:39:46 Uhr
Goto Top
Für nachfolgende Googler die (minimalistische) Konfiguration, mit der ich das im Eingangspost niedergeschriebene Beispiel umgesetzt habe.

Die VLANs haben die Netze
172.17.1.0/24
172.17.2.0/24
172.17.3.0/24

WAN 1 ist als Standardgateway in der pfSense konfiguriert.


Ein Alias "vlan_intern" für das Netz 172.17.0.0/16 anlegen

Regeln für Interface VLAN 1:
  • Protocol: any, Destination: Single host or alias vlan_intern
  • Protocol: any, Destination: Invert match Single host or alias vlan_intern, Gateway: dsl_failover


Regel für Interface VLAN 2:
  • Protocol: any, Destination: Invert match Single host or alias vlan_intern, Gateway: dsl_failover


Regel für Interface VLAN 3:
  • Protocol: any, Destination: Invert match Single host or alias vlan_intern