Pfsense Watchguard Einrichten mit 2 DSL Leitungen
Hallo zusammen,
bevor ich die Einstellungen in der Pfsense vornehmen wollte, will ich gerne wissen ob die meine Einstellungen so richtig wären.
Wir haben 2 DSL Leitungen:
1x Unitymedia Fritbox Cable Router 192.168.10.1
1x Telekom Speedport Router 192.168.10.3
Die Pfsense hat die 192.168.10.250
Es wurden an der Pfsense 2 Wan Ports und 1 Lan port Konfiguriert
Wan 1 würde ich auf DHCP eisntellen da ich für die Unitymedia Leitung die Fritzbox weiterhin nutzen muss. Auf der Fritzbox ist DHCP Server weiterhin aktiv
Wan 2 würde ich auf PPOE einstellen. Auf dem Speedport würde ich DHCP ausstellen und als Modem Konfigurieren sodass die Pfsense die Einwahl vornimmt
Würde diese Konfig so funktionieren?
bevor ich die Einstellungen in der Pfsense vornehmen wollte, will ich gerne wissen ob die meine Einstellungen so richtig wären.
Wir haben 2 DSL Leitungen:
1x Unitymedia Fritbox Cable Router 192.168.10.1
1x Telekom Speedport Router 192.168.10.3
Die Pfsense hat die 192.168.10.250
Es wurden an der Pfsense 2 Wan Ports und 1 Lan port Konfiguriert
Wan 1 würde ich auf DHCP eisntellen da ich für die Unitymedia Leitung die Fritzbox weiterhin nutzen muss. Auf der Fritzbox ist DHCP Server weiterhin aktiv
Wan 2 würde ich auf PPOE einstellen. Auf dem Speedport würde ich DHCP ausstellen und als Modem Konfigurieren sodass die Pfsense die Einwahl vornimmt
Würde diese Konfig so funktionieren?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 250945
Url: https://administrator.de/forum/pfsense-watchguard-einrichten-mit-2-dsl-leitungen-250945.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
26 Kommentare
Neuester Kommentar
Hallo,
FritzBox DHCP aus
Speedport DHCP aus
PFsense übernimmt als einziger DHCP für dein LAN
PFSense WAN Ports (sind ja reine Ethernet Ports) IP festverdrahten, beim Speedport braucht es noch nicht mal IPs, machst ja nur PPoE
stellen
Gruß,
Peter
FritzBox DHCP aus
Speedport DHCP aus
PFsense übernimmt als einziger DHCP für dein LAN
PFSense WAN Ports (sind ja reine Ethernet Ports) IP festverdrahten, beim Speedport braucht es noch nicht mal IPs, machst ja nur PPoE
stellen
Gruß,
Peter
Zitat von @Musli18:
Es wurden an der Pfsense 2 Wan Ports und 1 Lan port Konfiguriert
Wan 1 würde ich auf DHCP eisntellen da ich für die Unitymedia Leitung die Fritzbox weiterhin nutzen muss. Auf der
Fritzbox ist DHCP Server weiterhin aktiv
Es wurden an der Pfsense 2 Wan Ports und 1 Lan port Konfiguriert
Wan 1 würde ich auf DHCP eisntellen da ich für die Unitymedia Leitung die Fritzbox weiterhin nutzen muss. Auf der
Fritzbox ist DHCP Server weiterhin aktiv
Ich würde die IP-Adresse festackern. gibt weniger Probleme hinterhwerm, wenn plötzlich eine der Kisten meint, die Ip-Adresse m,üsse sich ändern.
Wan 2 würde ich auf PPOE einstellen. Auf dem Speedport würde ich DHCP ausstellen und als Modem Konfigurieren sodass die
Pfsense die Einwahl vornimmt
Pfsense die Einwahl vornimmt
Ist "Geschmackssache", aber sofern die Möglichkeit besteht, direkt die pfsense die einwahl machen zu lassen, soltle man das nutzen. Das ergibt dann weniger Probleme, wenn man später nciht irgendwelche Ports forwarden muß, wenn man bestimmte Dienste wie z.B. VPN nutzen will.
lks
1x Unitymedia Fritbox Cable Router 192.168.10.1
1x Telekom Speedport Router 192.168.10.3
Die Pfsense hat die 192.168.10.250
Das wird so nicht klappen !1x Telekom Speedport Router 192.168.10.3
Die Pfsense hat die 192.168.10.250
Die beiden WAN Ports müssen in dedizierte eigene IP Netze !!
Also z.B.
Unitymedia Fritbox Cable Router 172.16.10.1 /24 (pfSense WAN1 Port: 172.16.10.254 /24)
Telekom Speedport Router 172.16.20.1 /24 (pfSense WAN2 Port: 172.16.20.254 /24)
Oder eben mit einer entsprechenden Subnet Maskierung deiner Wahl.
Wichtig: Denk dran die DHCP Server auf den obigen beiden Routern FB und SP zu daektivieren.
Siehe auch hier:
https://doc.pfsense.org/index.php/Multi-WAN_2.0
http://www.youtube.com/watch?v=omuklZrzopM
http://www.youtube.com/watch?v=Uiiy8YuWHcY
usw.
Welche Watchguard HW nutzt du ?
Zitat von @aqui:
> 1x Unitymedia Fritbox Cable Router 192.168.10.1
> 1x Telekom Speedport Router 192.168.10.3
> Die Pfsense hat die 192.168.10.250
Das wird so nicht klappen !
Die beiden WAN Ports müssen in dedizierte eigene IP Netze !!
> 1x Unitymedia Fritbox Cable Router 192.168.10.1
> 1x Telekom Speedport Router 192.168.10.3
> Die Pfsense hat die 192.168.10.250
Das wird so nicht klappen !
Die beiden WAN Ports müssen in dedizierte eigene IP Netze !!
Er stellt das ja gerade um, daß der zweite WAN-Port sich selbst einwählt. Dann funktioniert das schon. Das was er geschildert hat ist ja der "alte" Zustand.
lks
Kann ich speziel für diese Webseite das Loadbalancing deaktivieren? Oder etwas einstellen dafür?
Ja, das geht natürlich. Das Verhalten ist aber sehr ungewöhnlich ? Du solltest dringenst mal mit dem Wireshark nachsehen was da genau passiert ! Das ist ja eine Applikation und das kann mit dem Netz so nichts zu tun haben. Zumal die Session ja so oder so immer fest auf einem Link bleibt.Ansonsten annst du das aber nach Ziel IP "Sticky" einstellen dann bleibt das fix.
Sobald ich diese anlege erzeugt die PFsene unter Firewall Rule bei der Telekom WAN Leitung eine neue Firewall Regel für die Freigabe.
Das kannst du unterbinden indem du den Haken bei "Automatic creation of ruleset..." entfernst.Du kannst dann eine eigene dedizierte Regel pro Port erstellen. Ist eh immer besser als der Automatismus.
Mein Problem man kann sich trotzdem nicht mit FTP über dyndns verbinden
Das ist auch klar hat aber rein gar nichts mit der pfSense oder dem netzwerk zu tun sondern mit FTP !Vermutlich nutzt du einen FTP Client der KEIN sog. Passive FTP supportet. FTP benutzt wie jeder Netzwerker weiss 2 TCP Ports und zwar 20 und 21. Bei nromalem FTP eröffnet der externe Server den data Port der dann an der NAT Firewall hängenbleibt.
Bei Passive FTP macht das der Client und da funktioniert es dann.
Der ganze Mechanismus wird hier genau erklärt:
http://slacksite.com/other/ftp.html
Nutze also einen Client der Passive kann wie Filezilla oder einen Browser wie Firefox mit ftp://user:password@host dann klappt das auch wunderbar.
Erste Anlaufstelle ist hier wie immer das Firewall Log dort steht immer ganz genau WAS nicht durchkommt auf das du dann in den Rules reagieren kannst !!
Dyndns hat die Koreekte ip.
Welche denn ? Es muss die öffentliche Provider IP des pfSense WAN Ports haben !!Kann es am Speedport Router legen? Jeodch fungiert er nur noch als Modem
Wenn er wirklich als nur Modem fungiert hast du die PPPoE Daten ja in der pfSense eingetragen, richtig ?Folglich also hast du die öffentliche Provider IP auch direkt am WAN Port der pfSense, auch richtg ??
Wenn dem genau so ist ist es das Problem Passive FTP !
so das mit den Webseiten und Loadbalancing funktioniert jetzt.
Wäre ja mal interessant für die Forumscommunity hier WAS denn die Lösung war ?Kann ich die Logs über das Webinterface einsehen?
Ja natürlich ! Unter Status -> System LogsUnd jetzt sag nicht das du da noch nie nachgesehen hast ?? Kennst du eigentlich deine pfSense ?? Scheinbar wohl nicht wirklich ?!
Ich habe einfach mal auf das + Zeichen geklickt damit er die Firewall regel selber erstellt. Jedoch klappt das auch nicht.
Sinnvoll wäre mal einen anonymisierten Screenshot der Regeln zu sehen... Nicht das du durch die sinnfreie Klickerei und all den Automatismus dort nun ein Murks Regelwerk geklickt hast. Kontrollier das also besser nochmal direkt auf Plausibilität und bedenke immer:- Regeln greifen nur auf eingehende Pakete !
- Es gilt "First match wins...!" also bei einer ersten positiven Regel werden die danach NICHT mehr abgearbeitet !
Wenn ein FTP Request ankommt von außen macht es erstmal Sinn mit tcpdump oder dem Wireshark auf dem lokalen Endgerät mal nachzusehen ob das da auch wirklich ankommt !!
Ist das der Fall kann es sein, das durch das Load Balancing die Antwort aber auf dem anderen Port rausgeht und damit dann die FTP Session abgebrochen wird. Aller Voraussicht nach ist das der Fall bei dir vermutlich ?
Es ist also logisch, das du den internen FTP Server auch "sticky" auf den Speedport (Telekom) WAN Port festnageln musst !! Der darf NICHT gebalanced werden !
Durch die Port Forwarding Regel an dem einen WAN Port dürfen Sessions dieser Maschine niemals den anderen Port benutzen !
Vergiss das nicht in deinem Setup !
Ich habe schon herausgefunden das es am loadbalancing Regel in der Firewall liegt.
Kann gut sein, denn FTP benutzt 2 Sessions einaml die Control Session TCP 21 und die Daten Session TCP 20. Die sollte man besser nicht sessionweise balancen wie das bei Dual WAN passiert.Nagle als FTP Sessions fest auf einen Link oder verwende Passive FTP
http://slacksite.com/other/ftp.html
dann passiert das auch nicht mehr und FTP ist wieder pfeilschnell.
Sollte damit auch erledigt sein.
Probier es einfach aus. Clients wie Filezilla oder alle Browser wie Firefox, Chrome usw. nutzen in der Regel immer den Passive Mode bei Zugriff auf einen Server:
Gib im Browser einfach ein ftp://username:password@ftp_server.domain oder entsprechend die Ziel IP.
Im Filezilla aktiviert man im Setup den Passive Mode.
Probier es einfach aus. Clients wie Filezilla oder alle Browser wie Firefox, Chrome usw. nutzen in der Regel immer den Passive Mode bei Zugriff auf einen Server:
Gib im Browser einfach ein ftp://username:password@ftp_server.domain oder entsprechend die Ziel IP.
Im Filezilla aktiviert man im Setup den Passive Mode.
Logisch das der FTP Server auch den Passive Mode supporten muss !!
In der Regel sollten das alle Server machen denn sonst ist ein Betrieb über eine NAT Firewall unmöglich. (Siehe Link oben)
Vermutlich kann also dein Ziel FTP Server schlicht und einfach kein Passive Mode.
Kannst du selber checken indem du ihn mit einem CLI Client verbindest und ihm mal händisch das Kommando passive gibst.
In der Regel sollten das alle Server machen denn sonst ist ein Betrieb über eine NAT Firewall unmöglich. (Siehe Link oben)
Vermutlich kann also dein Ziel FTP Server schlicht und einfach kein Passive Mode.
Kannst du selber checken indem du ihn mit einem CLI Client verbindest und ihm mal händisch das Kommando passive gibst.
Der Client selber kann kein Passive. Das bedeutet nur das er nach dem Login ein Passive Kommando sendet an den Server und der Client daraufhin dann die Data Session eröffnet. Siehe Session Diagramm im o.a. URL.
Checke einfach dein Firewall Log ! Dort steht genau drin wenn was wichtiges geblockt wird. Ggf. zuerst löschen, dann erst die Session eröffnen und checken wegen der Übersichtlichkeit.
Oder den Packet Tracer unter "Diagnostics" in der pfSense verwenden.
Checke einfach dein Firewall Log ! Dort steht genau drin wenn was wichtiges geblockt wird. Ggf. zuerst löschen, dann erst die Session eröffnen und checken wegen der Übersichtlichkeit.
Oder den Packet Tracer unter "Diagnostics" in der pfSense verwenden.