Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PfSense MultiWAN - failover Bug?

Mitglied: FA-jka

FA-jka (Level 3) - Jetzt verbinden

13.02.2018, aktualisiert 14:29 Uhr, 348 Aufrufe, 6 Kommentare, 2 Danke

Hallo,

ich versuche, eine pfSense mit MultiWAN in Betrieb zu nehmen. Gegeben ist folgendes Szenario:
  • WAN hängt an einer Fritz!Box. Dort hat sie die IP-Adresse 192.168.178.2/24 statisch eingetragen
  • OPT1 hängt an einem iPhone. Das iPhone weist der pfSense eine IP-Adresse und ein Gateway zu

"Eigentlich" funktioniert alles perfekt. D.h., wenn ich das Gateway auf WAN stelle, bin ich über die Fritz!Box "drin". Wenn ich das Gateway auf OPT1 umstelle (1 Mausklick), bin ich über das iPhone online. Selbst der VPN-Tunnel (die pfSense läuft als OpenVPN-Client auf einen zentralen Server auf und koppelt die Netze) läuft perfekt und wandert auch brav dem Gateway hinterher - was nicht zuletzt daran liegt, dass ich die Gateway-Group als Schnittstelle im OpenVPN-Client der pfSense eingetragen habe.

Was leider Gottes noch nicht funktioniert ist das automatische Failover. Ich habe mir das so überlegt, dass die WAN-Schnittstelle als "offline" bewertet wird, wenn über diese Schnittstelle die IP-Adresse 9.9.9.9 nicht mehr erreichen kann.

Die OPT1-Schnittstelle soll als offline bewertet werden, wenn über diese Schnittstelle die IP-Adresse 8.8.8.8 nicht mehr erreichen kann.

WAN soll die 9.9.9.9 als DNS benutzen, OPT1 soll die 8.8.8.8 als DNS benutzen.

Die WAN-Schnittstelle:
wan_interface - Klicke auf das Bild, um es zu vergrößern

Die OPT1-Schnittstelle:
opt1_interface - Klicke auf das Bild, um es zu vergrößern

Hier die beiden Gateways...
gateways - Klicke auf das Bild, um es zu vergrößern

...die ich zu einer Gruppe zusammengefasst habe:
gwgroup - Klicke auf das Bild, um es zu vergrößern

Die Firewallregeln für WAN, OPT1 und den Outbound sehen so aus:
wanrules - Klicke auf das Bild, um es zu vergrößern
opt1rules - Klicke auf das Bild, um es zu vergrößern
outboundrules - Klicke auf das Bild, um es zu vergrößern

Hier zur Vollständigkeit die generellen Einstellungen, in denen ich die DNS-Server für die Schnittstellen zuweise. Die pfSense funktioniert als DNS Forwarder und verteilt die eigene IP per DHCP als DNS.
generalsetup - Klicke auf das Bild, um es zu vergrößern

Lange Rede, kurzer Sinn: Ich "komme nicht drauf" und stehe kurz davor zu behaupten, dass es sich um einen grundsätzlichen Bug handelt. Es funktioniert alles perfekt, man muss lediglich das Gateway manuell umstellen...

Gruß,
Jörg
Mitglied: snapdragon
LÖSUNG 13.02.2018, aktualisiert um 17:22 Uhr
dass es sich um einen grundsätzlichen Bug handelt.
Nöp, ist es nicht, sowas würde btw. sehr schnell auffallen, dir fehlen einfach die Firewall Regeln die den Traffic der Gateway-Gruppe zuweist
Les mal den Abschnitt "Firewall" hier
https://doc.pfsense.org/index.php/Multi-WAN#Firewall_Rules
01.
Defining gateway groups is only part of the story. Traffic must be assigned to these gateways using the Gateway setting on firewall rules.
Gruß Snap
Bitte warten ..
Mitglied: FA-jka
13.02.2018 um 22:50 Uhr
Hallo,

das habe ich gelesen.

Hast Du ein Beispiel für so eine Regel? Ich finde da nichts, wo man das Interface angeben könnte.

Gruß,
Jörg
Bitte warten ..
Mitglied: snapdragon
LÖSUNG 14.02.2018 um 07:52 Uhr
Auf deinem LAN Tab
Action: Pass
Source: Dein Lan
Sourceport: Any
Destination Any
Destport: Any
Gateway: <Deine Gateway Gruppe>
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.02.2018 um 09:08 Uhr
Hier findest du eine wasserdicht laufende und fertige Konfig zum Abtippen:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
oder auch hier:
https://doc.pfsense.org/index.php/Multi-WAN
Bitte warten ..
Mitglied: FA-jka
14.02.2018, aktualisiert um 10:22 Uhr
Hallo,

Zitat von snapdragon:

Gateway: <Deine Gateway Gruppe>

Ich glaube, ich habe es gleich!

Augenscheinlich verbirgt sich diese Option hinter dem "Hide Advanced" Button - manchmal sieht man den Wald vor Bäumen nicht!

Gruß,
Jörg

Edit: Arbeitet wie gewünscht!

Was habe ich getan? Ich habe einen Devolo WiFi Repeater, der hier noch herumlag mit dem Tethering von meinem iPhone gekoppelt und das Ding an die pfSense gehängt. Wenn WAN ausfällt, schalte ich das Tethering ein und die Sense springt somit auf die LTE-Verbindung vom iPhone über. Gefällt mir persönlich sehr gut bzw. fällt definitiv in die Kategorie: "Sinnvolle Verwendung für den Krempel, der hier ungenutzt herumlag"
Bitte warten ..
Mitglied: FA-jka
14.02.2018, aktualisiert um 12:02 Uhr
Hallo,

jetzt muss ich aber doch noch einmal nachfragen: Wenn ich in der Filterregel das Gateway auf dem Wildcard * stehen lasse, geht der Traffic (zum Beispiel in Richtung Fritz!Box) direkt über die pfSense.

Das Ganze sieht dann so aus:

01.
PS C:\Users\jka> tracert 192.168.178.1 
02.
 
03.
Routenverfolgung zu fritz.box [192.168.178.1] 
04.
über maximal 30 Hops: 
05.
 
06.
  1    <1 ms    <1 ms    <1 ms  pffarge.varip.de [10.10.20.5] 
07.
  2    <1 ms     1 ms     1 ms  fritz.box [192.168.178.1] 
08.
 
09.
Ablaufverfolgung beendet.
Ändere ich das Gateway in der Filterregel auf die Gatewaygruppe, dann sieht läuft der Traffic direkt über die Fritz!Box. Das Ganze sieht dann so aus:

01.
PS C:\Users\jka> tracert 192.168.178.1 
02.
 
03.
Routenverfolgung zu fritz.box [192.168.178.1] 
04.
über maximal 30 Hops: 
05.
 
06.
  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.178.1] 
07.
 
08.
Ablaufverfolgung beendet. 
09.
PS C:\Users\jka>
Fatal ist, dass ich in diesem (Fehler-)Fall nicht mehr auf das Netz hinter den Tunneln (die ja nur die pfSense kennt) komme.

Vielleicht findet sich ja ein "grenzenlos Geduldiger", der mir diesen Effekt erklären kann...

Ganz liebe Grüße,
Jörg

Edit again: "So ganz pragmatisch gedacht" habe ich mir jetzt so ein Konstrukt gebastelt:
lan_rules - Klicke auf das Bild, um es zu vergrößern

Augenscheinlich funktioniert das, aber "irgendwie" bin ich mir noch nicht ganz sicher. Man soll ja eigentlich die Finger von Sachen lassen, von denen man keine Ahnung hat
Bitte warten ..
Ähnliche Inhalte
Router & Routing

MultiWAN mit Pfsense und KabelModem möglich?

Frage von Grave111Router & Routing3 Kommentare

Hallo allerseits, Ich Frage mich ob ich ein Multi WAN in Verbindung mit einem von Kabeldeutschland bereitgestellten Modem und ...

Firewall

Pfsense OpenVPN - MultWAN nur als Failover

Frage von Otto1699Firewall1 Kommentar

Hallo, ich habe zwei WAN, eine Verbindung mit wenig Upload, diese soll nur als Failover für OpenVPN genutzt werden. ...

Firewall

Pfsense 2.4.2 Bug bei Verwendung von squid?

Frage von Looser27Firewall

Moin zusammen, ich habe die pfsense Zuhause resettet, weil der Proxy nicht starten wollte. Also Einstellungen gesichert, Werkseinstellungen wieder ...

DSL, VDSL

Multiwan mit PFsense Sateliten Internet und T-DSL Bündeln

gelöst Frage von AndiderdauDSL, VDSL5 Kommentare

Hallo Communinty :) Eckdaten: Hotelbetrieb mit PFsense Firewall als kostenloser Zugang zum Internet über Captiveportal zur eigenen Absicherung. 10 ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 8 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 20 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 22 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 23 StundenMicrosoft14 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server35 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...