117471
Feb 13, 2018, updated at 13:29:14 (UTC)
2572
6
0
PfSense MultiWAN - failover Bug?
Hallo,
ich versuche, eine pfSense mit MultiWAN in Betrieb zu nehmen. Gegeben ist folgendes Szenario:
"Eigentlich" funktioniert alles perfekt. D.h., wenn ich das Gateway auf WAN stelle, bin ich über die Fritz!Box "drin". Wenn ich das Gateway auf OPT1 umstelle (1 Mausklick), bin ich über das iPhone online. Selbst der VPN-Tunnel (die pfSense läuft als OpenVPN-Client auf einen zentralen Server auf und koppelt die Netze) läuft perfekt und wandert auch brav dem Gateway hinterher - was nicht zuletzt daran liegt, dass ich die Gateway-Group als Schnittstelle im OpenVPN-Client der pfSense eingetragen habe.
Was leider Gottes noch nicht funktioniert ist das automatische Failover. Ich habe mir das so überlegt, dass die WAN-Schnittstelle als "offline" bewertet wird, wenn über diese Schnittstelle die IP-Adresse 9.9.9.9 nicht mehr erreichen kann.
Die OPT1-Schnittstelle soll als offline bewertet werden, wenn über diese Schnittstelle die IP-Adresse 8.8.8.8 nicht mehr erreichen kann.
WAN soll die 9.9.9.9 als DNS benutzen, OPT1 soll die 8.8.8.8 als DNS benutzen.
Die WAN-Schnittstelle:
Die OPT1-Schnittstelle:
Hier die beiden Gateways...
...die ich zu einer Gruppe zusammengefasst habe:
Die Firewallregeln für WAN, OPT1 und den Outbound sehen so aus:
Hier zur Vollständigkeit die generellen Einstellungen, in denen ich die DNS-Server für die Schnittstellen zuweise. Die pfSense funktioniert als DNS Forwarder und verteilt die eigene IP per DHCP als DNS.
Lange Rede, kurzer Sinn: Ich "komme nicht drauf" und stehe kurz davor zu behaupten, dass es sich um einen grundsätzlichen Bug handelt. Es funktioniert alles perfekt, man muss lediglich das Gateway manuell umstellen...
Gruß,
Jörg
ich versuche, eine pfSense mit MultiWAN in Betrieb zu nehmen. Gegeben ist folgendes Szenario:
- WAN hängt an einer Fritz!Box. Dort hat sie die IP-Adresse 192.168.178.2/24 statisch eingetragen
- OPT1 hängt an einem iPhone. Das iPhone weist der pfSense eine IP-Adresse und ein Gateway zu
"Eigentlich" funktioniert alles perfekt. D.h., wenn ich das Gateway auf WAN stelle, bin ich über die Fritz!Box "drin". Wenn ich das Gateway auf OPT1 umstelle (1 Mausklick), bin ich über das iPhone online. Selbst der VPN-Tunnel (die pfSense läuft als OpenVPN-Client auf einen zentralen Server auf und koppelt die Netze) läuft perfekt und wandert auch brav dem Gateway hinterher - was nicht zuletzt daran liegt, dass ich die Gateway-Group als Schnittstelle im OpenVPN-Client der pfSense eingetragen habe.
Was leider Gottes noch nicht funktioniert ist das automatische Failover. Ich habe mir das so überlegt, dass die WAN-Schnittstelle als "offline" bewertet wird, wenn über diese Schnittstelle die IP-Adresse 9.9.9.9 nicht mehr erreichen kann.
Die OPT1-Schnittstelle soll als offline bewertet werden, wenn über diese Schnittstelle die IP-Adresse 8.8.8.8 nicht mehr erreichen kann.
WAN soll die 9.9.9.9 als DNS benutzen, OPT1 soll die 8.8.8.8 als DNS benutzen.
Die WAN-Schnittstelle:
Die OPT1-Schnittstelle:
Hier die beiden Gateways...
...die ich zu einer Gruppe zusammengefasst habe:
Die Firewallregeln für WAN, OPT1 und den Outbound sehen so aus:
Hier zur Vollständigkeit die generellen Einstellungen, in denen ich die DNS-Server für die Schnittstellen zuweise. Die pfSense funktioniert als DNS Forwarder und verteilt die eigene IP per DHCP als DNS.
Lange Rede, kurzer Sinn: Ich "komme nicht drauf" und stehe kurz davor zu behaupten, dass es sich um einen grundsätzlichen Bug handelt. Es funktioniert alles perfekt, man muss lediglich das Gateway manuell umstellen...
Gruß,
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 364613
Url: https://administrator.de/contentid/364613
Printed on: April 19, 2024 at 21:04 o'clock
6 Comments
Latest comment
dass es sich um einen grundsätzlichen Bug handelt.
Nöp, ist es nicht, sowas würde btw. sehr schnell auffallen, dir fehlen einfach die Firewall Regeln die den Traffic der Gateway-Gruppe zuweistLes mal den Abschnitt "Firewall" hier
https://doc.pfsense.org/index.php/Multi-WAN#Firewall_Rules
Defining gateway groups is only part of the story. Traffic must be assigned to these gateways using the Gateway setting on firewall rules.
1
Hallo,
das habe ich gelesen.
Hast Du ein Beispiel für so eine Regel? Ich finde da nichts, wo man das Interface angeben könnte.
Gruß,
Jörg
das habe ich gelesen.
Hast Du ein Beispiel für so eine Regel? Ich finde da nichts, wo man das Interface angeben könnte.
Gruß,
Jörg
Auf deinem LAN Tab
Action: Pass
Source: Dein Lan
Sourceport: Any
Destination Any
Destport: Any
Gateway: <Deine Gateway Gruppe>
Action: Pass
Source: Dein Lan
Sourceport: Any
Destination Any
Destport: Any
Gateway: <Deine Gateway Gruppe>
1
Hier findest du eine wasserdicht laufende und fertige Konfig zum Abtippen:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
oder auch hier:
https://doc.pfsense.org/index.php/Multi-WAN
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
oder auch hier:
https://doc.pfsense.org/index.php/Multi-WAN
Hallo,
Ich glaube, ich habe es gleich!
Augenscheinlich verbirgt sich diese Option hinter dem "Hide Advanced" Button - manchmal sieht man den Wald vor Bäumen nicht!
Gruß,
Jörg
Edit: Arbeitet wie gewünscht!
Was habe ich getan? Ich habe einen Devolo WiFi Repeater, der hier noch herumlag mit dem Tethering von meinem iPhone gekoppelt und das Ding an die pfSense gehängt. Wenn WAN ausfällt, schalte ich das Tethering ein und die Sense springt somit auf die LTE-Verbindung vom iPhone über. Gefällt mir persönlich sehr gut bzw. fällt definitiv in die Kategorie: "Sinnvolle Verwendung für den Krempel, der hier ungenutzt herumlag"
Zitat von @135333:
Gateway: <Deine Gateway Gruppe>
Gateway: <Deine Gateway Gruppe>
Ich glaube, ich habe es gleich!
Augenscheinlich verbirgt sich diese Option hinter dem "Hide Advanced" Button - manchmal sieht man den Wald vor Bäumen nicht!
Gruß,
Jörg
Edit: Arbeitet wie gewünscht!
Was habe ich getan? Ich habe einen Devolo WiFi Repeater, der hier noch herumlag mit dem Tethering von meinem iPhone gekoppelt und das Ding an die pfSense gehängt. Wenn WAN ausfällt, schalte ich das Tethering ein und die Sense springt somit auf die LTE-Verbindung vom iPhone über. Gefällt mir persönlich sehr gut bzw. fällt definitiv in die Kategorie: "Sinnvolle Verwendung für den Krempel, der hier ungenutzt herumlag"
Hallo,
jetzt muss ich aber doch noch einmal nachfragen: Wenn ich in der Filterregel das Gateway auf dem Wildcard * stehen lasse, geht der Traffic (zum Beispiel in Richtung Fritz!Box) direkt über die pfSense.
Das Ganze sieht dann so aus:
Ändere ich das Gateway in der Filterregel auf die Gatewaygruppe, dann sieht läuft der Traffic direkt über die Fritz!Box. Das Ganze sieht dann so aus:
Fatal ist, dass ich in diesem (Fehler-)Fall nicht mehr auf das Netz hinter den Tunneln (die ja nur die pfSense kennt) komme.
Vielleicht findet sich ja ein "grenzenlos Geduldiger", der mir diesen Effekt erklären kann...
Ganz liebe Grüße,
Jörg
Edit again: "So ganz pragmatisch gedacht" habe ich mir jetzt so ein Konstrukt gebastelt:
Augenscheinlich funktioniert das, aber "irgendwie" bin ich mir noch nicht ganz sicher. Man soll ja eigentlich die Finger von Sachen lassen, von denen man keine Ahnung hat
jetzt muss ich aber doch noch einmal nachfragen: Wenn ich in der Filterregel das Gateway auf dem Wildcard * stehen lasse, geht der Traffic (zum Beispiel in Richtung Fritz!Box) direkt über die pfSense.
Das Ganze sieht dann so aus:
PS C:\Users\jka> tracert 192.168.178.1
Routenverfolgung zu fritz.box [192.168.178.1]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms pffarge.varip.de [10.10.20.5]
2 <1 ms 1 ms 1 ms fritz.box [192.168.178.1]
Ablaufverfolgung beendet.Ändere ich das Gateway in der Filterregel auf die Gatewaygruppe, dann sieht läuft der Traffic direkt über die Fritz!Box. Das Ganze sieht dann so aus:
PS C:\Users\jka> tracert 192.168.178.1
Routenverfolgung zu fritz.box [192.168.178.1]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms fritz.box [192.168.178.1]
Ablaufverfolgung beendet.
PS C:\Users\jka>Fatal ist, dass ich in diesem (Fehler-)Fall nicht mehr auf das Netz hinter den Tunneln (die ja nur die pfSense kennt) komme.
Vielleicht findet sich ja ein "grenzenlos Geduldiger", der mir diesen Effekt erklären kann...
Ganz liebe Grüße,
Jörg
Edit again: "So ganz pragmatisch gedacht" habe ich mir jetzt so ein Konstrukt gebastelt:
Augenscheinlich funktioniert das, aber "irgendwie" bin ich mir noch nicht ganz sicher. Man soll ja eigentlich die Finger von Sachen lassen, von denen man keine Ahnung hat
