16
Policy Based Routing mit PfSense zwischen LTE und DSL
Hallo,
wir werden in Kürze zwei IProvider haben, durch DSL und LTE.
LTE kommt durch einen ProRoute DualSIM Router http://www.gem420.com/ (mit zwei O2 Karten jeweils mit 1GB inkl-Traffic für EU-Ausland).
Da wir aktuell noch keinen französischen LTE Vertrag haben mit mehr Datenvolumen möchte ich im Firewall einschränken auf welche IP-Adressen durch LTE zugegriffen werden kann.
Mein Ziel ist also, dass wichtige Server /FTP-Upload/durch diese erheblich schnelleren Leitungen (5-10Mbits) erreichbar sind, der Rest (für normales Surfen) aber nur durch das langsame DSL. (0,8Mbits)
Ist es möglich in pfSense den Traffic auf IP und LAN-Teilnehmer-Ebene einzuschränken?
Danke sehr für eure Hilfe.
Gr. I.
wir werden in Kürze zwei IProvider haben, durch DSL und LTE.
LTE kommt durch einen ProRoute DualSIM Router http://www.gem420.com/ (mit zwei O2 Karten jeweils mit 1GB inkl-Traffic für EU-Ausland).
Da wir aktuell noch keinen französischen LTE Vertrag haben mit mehr Datenvolumen möchte ich im Firewall einschränken auf welche IP-Adressen durch LTE zugegriffen werden kann.
Mein Ziel ist also, dass wichtige Server /FTP-Upload/durch diese erheblich schnelleren Leitungen (5-10Mbits) erreichbar sind, der Rest (für normales Surfen) aber nur durch das langsame DSL. (0,8Mbits)
Ist es möglich in pfSense den Traffic auf IP und LAN-Teilnehmer-Ebene einzuschränken?
Danke sehr für eure Hilfe.
Gr. I.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 276992
Url: https://administrator.de/forum/policy-based-routing-mit-pfsense-zwischen-lte-und-dsl-276992.html
Ausgedruckt am: 13.04.2025 um 00:04 Uhr
16 Kommentare
Neuester Kommentar
Policy Based Routing sollte das für Euch erledigen können.
Gruß
Dobby
Gruß
Dobby
Und hier steht genau die es geht:
https://doc.pfsense.org/index.php/Multi-WAN
http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfse ...
Bzw. auch als Filmchen:
https://www.youtube.com/watch?v=Uiiy8YuWHcY
https://doc.pfsense.org/index.php/Multi-WAN
http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfse ...
Bzw. auch als Filmchen:
https://www.youtube.com/watch?v=Uiiy8YuWHcY
1
Danke sehr.
Ich hätte noch zwei Fragen:
Dies http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfse ...
screibt, dass z. B. 2 x 2Mbits in eine 4Mbits Leitungs kombiniert werden können.
Stimmt es so?
Ich wusste immer so, dass Load Balancing immer eine entweder oder Option bedeutet.
Wäre es z. B. möglich, dass wir tatsächlich unsere 0,7 (DSL) + 3,5 (UMTS) Mbits Uploads addieren können.
Oder dass wir über DSL immer herunterladen (7Mbits) und über UMTS (3,5Mbits) immer hochladen?
Meine zweite Frage wäre, ob ich das Rule mit dem Policy Based Routing immer zu dem Gateway erstelle woher der Traffic kommt (LAN) oder dazu woher der Traffic geleitet werden muss.
So wollte es irgendwie nicht funktionieren:
Den Traffic meines PCs wollte ich über LTE ausrouten.
Es wurde aber durch den default Gateway geleitet.
Gr. I.
Dies http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfse ...
screibt, dass z. B. 2 x 2Mbits in eine 4Mbits Leitungs kombiniert werden können.
Stimmt es so?
Ich wusste immer so, dass Load Balancing immer eine entweder oder Option bedeutet.
Wäre es z. B. möglich, dass wir tatsächlich unsere 0,7 (DSL) + 3,5 (UMTS) Mbits Uploads addieren können.
Oder dass wir über DSL immer herunterladen (7Mbits) und über UMTS (3,5Mbits) immer hochladen?
Meine zweite Frage wäre, ob ich das Rule mit dem Policy Based Routing immer zu dem Gateway erstelle woher der Traffic kommt (LAN) oder dazu woher der Traffic geleitet werden muss.
So wollte es irgendwie nicht funktionieren:
Den Traffic meines PCs wollte ich über LTE ausrouten.
Es wurde aber durch den default Gateway geleitet.
Gr. I.
Hallo,
1 + 1 = 1 + 1 Load Balancing
1 + 1 = 2 MLPPP (MPLS)
zum Einen muss das der Router bzw. die Firewall unterstützen und zum Anderen auch der ISP!
Nur nicht alle ISPs bieten so einen Service an und wenn dann nur zu Preisen die Du
bitte lieber selber erfragst!
Arten wählen, sie sind nicht alle gleich gut, haben aber dennoch Ihre Berechtigung!
- Policy based Routing
- Service based Routing
- Session based Routing
Sie haben aber alle eines gemeinsam, sie mache folgendes;
1 + 1 = 1 + 1 und nicht 1 + 1 = 2
MLPPP (MPLS) von ihm angeboten wird ja, sonst nein.
Gruß
Dobby
Dies http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfse ...
screibt, dass z. B. 2 x 2Mbits in eine 4Mbits Leitungs kombiniert werden können.
Folgendes dazu:screibt, dass z. B. 2 x 2Mbits in eine 4Mbits Leitungs kombiniert werden können.
1 + 1 = 1 + 1 Load Balancing
1 + 1 = 2 MLPPP (MPLS)
Stimmt es so?
Jein! Denn zwei Sachen müssen, nicht können, gegeben sein um so etwas zu realisierenzum Einen muss das der Router bzw. die Firewall unterstützen und zum Anderen auch der ISP!
Nur nicht alle ISPs bieten so einen Service an und wenn dann nur zu Preisen die Du
bitte lieber selber erfragst!
Ich wusste immer so, dass Load Balancing immer eine entweder oder Option bedeutet.
Richtig, genau so ist es auch und man kann meistens auch zwischen den unterschiedlichenArten wählen, sie sind nicht alle gleich gut, haben aber dennoch Ihre Berechtigung!
- Policy based Routing
- Service based Routing
- Session based Routing
Sie haben aber alle eines gemeinsam, sie mache folgendes;
1 + 1 = 1 + 1 und nicht 1 + 1 = 2
Wäre es z. B. möglich, dass wir tatsächlich unsere 0,7 (DSL) + 3,5 (UMTS)
Mbits Uploads addieren können.
Wenn beides von ein und dem selben ISP kommt und dann auch noch der ServiceMbits Uploads addieren können.
MLPPP (MPLS) von ihm angeboten wird ja, sonst nein.
Gruß
Dobby
screibt, dass z. B. 2 x 2Mbits in eine 4Mbits Leitungs kombiniert werden können.
Stimmt es so?
Jein ! Es kommt wie immer auf die Sichtweise an....Stimmt es so?
4 Mbit native kann es nicht simulieren, das ist klar, denn das Clocking auf 2 Mbit ist ja nun mal eben 2 Mbit und nicht 4 ! Daten fliessen also nur mit 2 Mbit.
Was dort gemacht wird ist ein sog. Session basiertes Balancing. Eine IP Session eine Leitung nächste andere Leitung und wieder von vorn.
Also ein sog. Round Robin Verteilen der Last.
Du du 2 Leitung hast, hast du die doppelt Kapazität und aus Sicht der Endgeräte verhält sich das dann so wei eine 4 Mbit Leitung.
Kommt man aber eigentlich auch von selber drauf wenn man mal etwas logisch nachdenkt...
Ich wusste immer so, dass Load Balancing immer eine entweder oder Option bedeutet.
Nein, das ist Unsinn.Du kannst den Balancing Algorythmus verändern oder wichten nach TCP Ports usw. Es ist also noch wmeh möglich als simples Round Robin.
Den Traffic meines PCs wollte ich über LTE ausrouten.
Es wurde aber durch den default Gateway geleitet.
Die Aussage ist ja etwas sinnfrei, sorry !Es wurde aber durch den default Gateway geleitet.
Der pfSense FW Router hat ja zwei default Gateways einmal WAN 1 und einmal WAN 2. Zwischen diesen "wechselt" er nach Round Robin Manier wie oben beschrieben.
WAS bezeichenst du also nun als "Default Gateway " enn es bekannt lich ja 2 gibt ??
Dein Default Gateway am Client ist ja lediglich die LAN IP Adresse der pfSense ?!
Ok. Danke sehr für die Antworten.
aktuell funktioniert es bei beiden meinen Zielen nicht:
- wenn ich WAN1 deaktiviere wird WAN2 nicht automatisch benutzt.
- Wenn WAN1 und WAN2 beide aktiviert sind, wird das Traffic bestimmter PCs nicht durch WAN2 geroutet.
Ich muss irgendwo auf der Leitung stehen.
Wenn ich richtig verstehe soll das Regel für das Routing als Firewall-Rule eingerichtet werden.
Ich habe bei LAN eingestellt, dass das Traffic vom PC 10.1.2.105 durch das Gateway LTE geroutet werden muss.
(Siehe Screenshot!) - so funktioniert aber nicht.
War es vom Ansatz her richtig oder muss ich bei "LTE" den Traffic vom "LAN" mit FW-Regel erlauben? (also Regel für beide Seiten?)
Bezüglich der Setting "Default", es kann gleichzeitig nur ein WAN "default" sein.
LTE funktioniert - an sich - auf jeden Fall richtig:
- LTE Interface wird in PfSense als "up" angezeigt mit grünem Pfeil.
- wenn ich den Router mit LAN Kabel direkt an mein NB anschliesse gibt es Internetzugang ohne Probleme.
In der Gateway Group wurde LTE als Tier 1 und auch DSL als Tier 1 eingestellt.
Ich habe DSL deaktiviert und geschaut ob so eventuell durch LTE geleitet wird.
Hier sind einige Screenshots mit den aktuellen Settings:
Gr. I.
aktuell funktioniert es bei beiden meinen Zielen nicht:
- wenn ich WAN1 deaktiviere wird WAN2 nicht automatisch benutzt.
- Wenn WAN1 und WAN2 beide aktiviert sind, wird das Traffic bestimmter PCs nicht durch WAN2 geroutet.
Ich muss irgendwo auf der Leitung stehen.
Wenn ich richtig verstehe soll das Regel für das Routing als Firewall-Rule eingerichtet werden.
Ich habe bei LAN eingestellt, dass das Traffic vom PC 10.1.2.105 durch das Gateway LTE geroutet werden muss.
(Siehe Screenshot!) - so funktioniert aber nicht.
War es vom Ansatz her richtig oder muss ich bei "LTE" den Traffic vom "LAN" mit FW-Regel erlauben? (also Regel für beide Seiten?)
Bezüglich der Setting "Default", es kann gleichzeitig nur ein WAN "default" sein.
LTE funktioniert - an sich - auf jeden Fall richtig:
- LTE Interface wird in PfSense als "up" angezeigt mit grünem Pfeil.
- wenn ich den Router mit LAN Kabel direkt an mein NB anschliesse gibt es Internetzugang ohne Probleme.
In der Gateway Group wurde LTE als Tier 1 und auch DSL als Tier 1 eingestellt.
Ich habe DSL deaktiviert und geschaut ob so eventuell durch LTE geleitet wird.
Hier sind einige Screenshots mit den aktuellen Settings:
Gr. I.
wenn ich WAN1 deaktiviere wird WAN2 nicht automatisch benutzt.
Ist auch klar, denn der Umschaltmechanismus reagiert nur auf den Linkstatus und/oder auf einen Ping des Provider Routers oder Host im Internet wenn der abbricht.Wenn WAN1 und WAN2 beide aktiviert sind, wird das Traffic bestimmter PCs nicht durch WAN2 geroutet.
Kann normal sein, da wir nicht wissen WELCHEN Balancing Algorythmis du verwendet hast 
Es besteht ein Unterschied zw. Least Connection und Round Robin.
den Traffic vom "LAN" mit FW-Regel erlauben? (also Regel für beide Seiten?)
Ja, logisch ! Der Traffic muss ja am LAN passieren können. FW Regeln greifen nur Inbound also ins Interface hinein. Nicht Outbound !
1. OK.
2. Ich habe kein explizites Load Balancing (im Menü "Services") eingerichtet sondern lediglich eine Gateway Gruppe wo beide Tier 1 Einstufung bekommen haben.
Ich habe nur bei LAN eine Rule erstellt und wollte 10.1.2.101 zu LTE umleiten und ich habe jetzt bei LTE ein Rule erstellt, dass alle Traffic vom LAN kommen kann.
Die Rules greifen. 10.1.2.101 kann nicht ins Internet. Alle anderen PCs können.
Es ist entweder ein DNS Problem oder die Daten gehen irgendwie anders in Sackgasse.
(meine NS Settings sind auf einem Screenshot.)
Ich habe auch den DNS Server des Providers (Orange) eingegeben 192.168.10.110).
Leider auch damit geht es nicht.
3. gemacht...
EDIT: ich habe versucht LTE also TIER1 und DSL als TIER2 einzurichten. Nichts. LTE traffic geht nicht durch
EDIT2: mit dem Traceroute von pfSense sind DNS Namen durch beide Gateways aufzulösen. Die Verbindung besteht also ganz sicher samt richtiger DNS Einstellungen. Das Routing soll das Problem sein.
EDIT3: ich habe DSL völlig deaktiviert und nur LTE als WAN gelassen. Auch so ging kein Traffic durch, obwohl alles aktiv zu sein scheint. Wenn ich an denselbem Routerport ein PC anschließe, gibt es kein Problem.
EDIT4: ich habe aufgegeben. Bei einem einzigen WAN-Port, klappt es nicht. auf den unterschiedlichen PCs gibt es je nach DND Settings Aufrufezeichen oder eben kein Aufrufezeichen. Auch ohne AR werden die aber nur geladen, geladen und geladen. Passiert aber nicht. Direkt am LTE-Router (per LAN oder WLAN ist alles bestens).
2. Ich habe kein explizites Load Balancing (im Menü "Services") eingerichtet sondern lediglich eine Gateway Gruppe wo beide Tier 1 Einstufung bekommen haben.
Ich habe nur bei LAN eine Rule erstellt und wollte 10.1.2.101 zu LTE umleiten und ich habe jetzt bei LTE ein Rule erstellt, dass alle Traffic vom LAN kommen kann.
Die Rules greifen. 10.1.2.101 kann nicht ins Internet. Alle anderen PCs können.
Es ist entweder ein DNS Problem oder die Daten gehen irgendwie anders in Sackgasse.
(meine NS Settings sind auf einem Screenshot.)
Ich habe auch den DNS Server des Providers (Orange) eingegeben 192.168.10.110).
Leider auch damit geht es nicht.
3. gemacht...
EDIT: ich habe versucht LTE also TIER1 und DSL als TIER2 einzurichten. Nichts. LTE traffic geht nicht durch
EDIT2: mit dem Traceroute von pfSense sind DNS Namen durch beide Gateways aufzulösen. Die Verbindung besteht also ganz sicher samt richtiger DNS Einstellungen. Das Routing soll das Problem sein.
EDIT3: ich habe DSL völlig deaktiviert und nur LTE als WAN gelassen. Auch so ging kein Traffic durch, obwohl alles aktiv zu sein scheint. Wenn ich an denselbem Routerport ein PC anschließe, gibt es kein Problem.
EDIT4: ich habe aufgegeben. Bei einem einzigen WAN-Port, klappt es nicht. auf den unterschiedlichen PCs gibt es je nach DND Settings Aufrufezeichen oder eben kein Aufrufezeichen. Auch ohne AR werden die aber nur geladen, geladen und geladen. Passiert aber nicht. Direkt am LTE-Router (per LAN oder WLAN ist alles bestens).
Ich habe auch den DNS Server des Providers (Orange) eingegeben 192.168.10.110).
Das ist aber eine private IP Adresse die wird im Internet nicht geroutet!Gruß
Dobby
Ich habe auch mit anderen DNS Server probiert z. B. mit dem von Google 8.8.8.8.
Nichts...
Ich lasse die Sache bzw. meine Nerven einige Tage ruhen und probiere wieder.
Gr. I.
Nichts...
Ich lasse die Sache bzw. meine Nerven einige Tage ruhen und probiere wieder.
Gr. I.
ich habe DSL völlig deaktiviert und nur LTE als WAN gelassen. Auch so ging kein Traffic durch, obwohl alles aktiv zu sein scheint. Wenn ich an denselbem Routerport ein PC anschließe, gibt es kein Problem.
Das zeigt ja das generell ein Problem besteht wenn nichts über den LTE Port rausgeht. Hier hast du de facto ein Regelproblem oder Fehler gemacht !Was sagt das Log ??
Wenn der LTE Ansschluss RFC 1918 IP Adressen nutzt also private IPs, betreibst du am WAN Port eine Router Kaskade ?? Gilt übrigens auch für den DSL Anschluss ?
Vermutlich ja, was die Kaskade anbetrifft bei LTE. Bedenke dann das du zwingend die Default FW Regel vom WAN Port deaktivieren musst der generell alle RFC 1918 IP Netze blockiert !
Ist das geschehen ?
Du meinst, dass LAN Traffic nicht in LTE WAN geleitet werden kann?
Oben siehst du mein FW Regel für Traffic vom LAN.
Es ist denkbar einfach gehalten:
Oben siehst du mein FW Regel für Traffic vom LAN.
Es ist denkbar einfach gehalten:
Ich habe den Verdacht, dass die ALIX Board irgendwie kaputt ist, egal welcher Provider in der Mitte angeschlossen wird, funktioniert nicht. Als ich LTE DSL ausgetauscht habe, hat plötzlich LTE funktioniert. Die beiden WAN Anschlüsse sind völlig identisch (mit DHCP) eingerichtet, mit identischen DNS Server von Google (8.8.8.8).
Komischerweise werden beide WAN Anschlüsse als aktiv angezeigt (UP). So richtig kaputt kann es also nicht sein ...
Ich verstehe nur Bahnhof.
Ich schließe diesen Thread, da das eigentliche Frage hier beantwortet wurde.
Komischerweise werden beide WAN Anschlüsse als aktiv angezeigt (UP). So richtig kaputt kann es also nicht sein ...
Ich verstehe nur Bahnhof.
Ich schließe diesen Thread, da das eigentliche Frage hier beantwortet wurde.
War das...
Routing Fehlersuche bei zwei WAN, pfSense auf ALIX Board
denn letztlich die Antwort auf das Problem ala Reboot tut gut
Routing Fehlersuche bei zwei WAN, pfSense auf ALIX Board
denn letztlich die Antwort auf das Problem ala Reboot tut gut
Auch ...
Wirklich hilfreich war wohl das Neueinrichten des Outbound-NAS, was ich leider davor nicht beachtet habe ...
Wirklich hilfreich war wohl das Neueinrichten des Outbound-NAS, was ich leider davor nicht beachtet habe ...
