7
Routing Fehlersuche bei zwei WAN, pfSense auf ALIX Board
Hallo,
meine eigentliche Fragestellung hier Policy Based Routing mit PfSense zwischen LTE und DSL wurde beantwortet.
Ich habe mit pfSense andere Probleme, die ich dringend - einem Kunden - lösen müsste.
Die aktuelle Situation:
PfSense hat zwei WAN Anschlüsse. (DSL / LTE)
Beide sind "up" und die angegebenen alternativ IP werden durch Monitoring gefunden.
Beide Gateway sind als Tier 1 eingestellt und sind in einer Gruppe, wo es so eingestellt ist, dass das alternative WAN gewählt wird, wenn "Member" ausfällt.
Problem: durch den WAN Anschluß VR1 wird kein Traffic durchgeleitet, Egal welchen Provider ich dort anschliesse. Wenn ich VR1 wähle werden dort, wenn ich den dortigen ISP als default einstelle, die Pakete durchgejagt.
Im Firewall werden beide WAN identisch geregelt: Weder bei DSL noch bei LTE wird Traffic vom LAN explizit erlaubt ... Im LAN gibt es kein Regel, der Traffic zu bestimmten Gateway leitet. Aktuelle teste ich nur damit, dass ich die "Deafult" Setting zu einem anderen Gateway setze...
Hat jemand eine Idee, wo mein Denkfehler sein kann?
Hier sind einige Screenshots:
Danke sehr.
I.
meine eigentliche Fragestellung hier Policy Based Routing mit PfSense zwischen LTE und DSL wurde beantwortet.
Ich habe mit pfSense andere Probleme, die ich dringend - einem Kunden - lösen müsste.
Die aktuelle Situation:
PfSense hat zwei WAN Anschlüsse. (DSL / LTE)
Beide sind "up" und die angegebenen alternativ IP werden durch Monitoring gefunden.
Beide Gateway sind als Tier 1 eingestellt und sind in einer Gruppe, wo es so eingestellt ist, dass das alternative WAN gewählt wird, wenn "Member" ausfällt.
Problem: durch den WAN Anschluß VR1 wird kein Traffic durchgeleitet, Egal welchen Provider ich dort anschliesse. Wenn ich VR1 wähle werden dort, wenn ich den dortigen ISP als default einstelle, die Pakete durchgejagt.
Im Firewall werden beide WAN identisch geregelt: Weder bei DSL noch bei LTE wird Traffic vom LAN explizit erlaubt ... Im LAN gibt es kein Regel, der Traffic zu bestimmten Gateway leitet. Aktuelle teste ich nur damit, dass ich die "Deafult" Setting zu einem anderen Gateway setze...
Hat jemand eine Idee, wo mein Denkfehler sein kann?
Hier sind einige Screenshots:
Danke sehr.
I.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 279721
Url: https://administrator.de/contentid/279721
Printed on: April 23, 2024 at 23:04 o'clock
7 Comments
Latest comment
Moin,
ich vermute mal das Outbound NAT deiner Firewall ist nicht richtig konfiguriert. Aktiviere unter Outbound NAT die manuelle Option und konfiguriere für beide Internet-Interfaces (WAN und OPT) das Masquerading (NAT), dann sollte das problemlos laufen ... Wenn du sonst alles befolgt hast was nötig ist https://doc.pfsense.org/index.php/Multi-WAN#Failover
Gruß jodel32
ich vermute mal das Outbound NAT deiner Firewall ist nicht richtig konfiguriert. Aktiviere unter Outbound NAT die manuelle Option und konfiguriere für beide Internet-Interfaces (WAN und OPT) das Masquerading (NAT), dann sollte das problemlos laufen ... Wenn du sonst alles befolgt hast was nötig ist https://doc.pfsense.org/index.php/Multi-WAN#Failover
Gruß jodel32
Danke.
Daran kann es tatsäch liegen. Wenn ich die Einstellungen richtig interpretiere (siehe Screenshot) wurde hier nur das LAN - WAN Traffic aber nicht LAN-OPT1...
Ich versuche mal was sinnvolles einzustellen ...
Daran kann es tatsäch liegen. Wenn ich die Einstellungen richtig interpretiere (siehe Screenshot) wurde hier nur das LAN - WAN Traffic aber nicht LAN-OPT1...
Ich versuche mal was sinnvolles einzustellen ...
Zitat von @istike2:
Daran kann es tatsäch liegen. Wenn ich die Einstellungen richtig interpretiere (siehe Screenshot) wurde hier nur das LAN -
WAN Traffic aber nicht LAN-OPT1...
Jup da fehlt das Masquerading für OPT1, dann kann da ja kein Traffic drüber fließen, wenn die Clients mit Ihrer privaten IP ins Internet Routen anstatt zu NATen Daran kann es tatsäch liegen. Wenn ich die Einstellungen richtig interpretiere (siehe Screenshot) wurde hier nur das LAN -
WAN Traffic aber nicht LAN-OPT1...
Ich habe noch zu OPT1 Traffic mit Source 10.1.2.0 hinzugefügt. Nichts. Ich habe dann Outbound NAT völlig deaktiviert. Nichts.
Ich starte jetzt Alix neu. Mal schauen.
Ist es sonst schlimm wenn Outbound NAT deaktiviert wird?
Ich starte jetzt Alix neu. Mal schauen.
Ist es sonst schlimm wenn Outbound NAT deaktiviert wird?
Oh ja ! Weißt du überhaupt was NAT bedeutet ?? Scheint mir nicht so als wüßtest du was das ist.
Dein Router muss über die WAN Interfaces NATen da du ja mit mehreren Clients ins Internet willst, du aber nur eine öffentliche IP am WAN Interface hast!
Füge einfach OPT1 hinzu und lass alles was darüber nach draußen läuft NATen feddich.
Habe hier jetzt gerade leider keine PFSense zur Hand sonst würd ich dir den passenden Eintrag als Screenshot posten
Dein Router muss über die WAN Interfaces NATen da du ja mit mehreren Clients ins Internet willst, du aber nur eine öffentliche IP am WAN Interface hast!
Füge einfach OPT1 hinzu und lass alles was darüber nach draußen läuft NATen feddich.
Habe hier jetzt gerade leider keine PFSense zur Hand sonst würd ich dir den passenden Eintrag als Screenshot posten
Ok. Für mich ist es natürlich ein Begriff aber immer nur für eingehender Traffic ... Ich hatte halt noch nie zwei ISP gehabt. 
Es hat sonst - nach Neustart - geklappt. Vielen Dank für deine Hilfe.
Gr. I.
Es hat sonst - nach Neustart - geklappt. Vielen Dank für deine Hilfe.
Gr. I.
aber immer nur für eingehender Traffic ... I
Das wäre ja fatal ! Wenn du intern private RFC 1918 IP Netze nutzt musst du natürlich auch outbound NATen ! Wie sollten diese IP Adressen denn sonst geroutet werden ?!Private RFC 1918 IP Netze werden im Internet nicht geroutet, sprich das Internet "kennt" diese IP Netze gar nicht.
NAT auf die öffentliche IP ist also absolut zwingend und das sowohl für Inbound als auch für Outbound Traffic. Ist auch logisch wenn man mal etwas über den Paket Flow in so einem Router nachdenkt
Gut wenns nun klappt wie es soll !
1
