Konfigurationsunterstützung Routing zweimal Netgate - 1x Standleitung und 1x DSL als Proxy
-
Hallo zusammen,
ich benötige Unterstützung bei der Konfiguration für folgende Situation. Aktuell habe ich eine XG-7100 als Hauptfirewall und dort ist am WAN Interface eine Glasfaserstandleitung eingerichtet.
Nun möchte ich eine zweite Internetleitung (VDSL) als Squidproxy verwenden. Dafür habe ich eine weitere Netgate SG-3100 und an dieser ist am WAN Interface die Leitung aktiv.
Klar ist mir das ich ein gemeinsames Proxynetz auf beiden Firewalls mit dem gleichen VLAN Tag benötige. Bzw. machen wir es konkret:
Auf der XG-7100 habe ich ein Interface definiert das sich PROXY nennt:
PROXY
VLAN Tag 500
192.168.30.1/24Auf der SG-3100 habe ich ebenfalls das Interface PROXY erstellt:
PROXY
VLAN Tag 500
192.168.30.2/24Soweit so gut. Mir ist nun nicht so ganz klar wo ich was konfigurieren muss damit die beiden Netze miteinander verbunden sind und das Routing passt. Sprich ich müsste ja gegenseitig die Gateways definieren damit eben die Pakete fließen können.
Ich hoffe Ihr versteht mich :).
-
@johndo bist du der admin bei euch im unternehmen?
- ich habe noch nicht verstanden wozu du den proxy brauchst?
- ich habe wirklich noch nicht ganz verstanden was dein ziel ist, willst du ein S2S VPN aufbauen?
- welches VPN Protokol hast du eingerichet?
- bitte screenshots deiner VPN Konfiguration
- bitte screenshots deiner firewall regeln
und wie immer von beiden standorten einen grafischen netzwerkplan
PS: die beiden sense sind laut deinem text im gleichen netzt, willst du das wiich so umsetzen oder habe ich deinen text falsch interpretiert das du doch kein vpn machen willst?
dann bleibt die frage, warum brauchst du dann 2 sense für das vorhaben, wie schon geschrieben, ich versteh dein vorhaben noch nicht ganz
am besten bitte auch den text beachten:
https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann/1 -
Hi,
sorry das ich es nicht gleich mit rein geschrieben habe. Ziel soll es sein den Browsertraffic wie Downloads, Uploads etc. alles über einen Proxy (Squidproxy + Squidguard) laufen zu lassen. Sprich alles was HTTP und HTTPS ist bzw. über den Browser laufen kann geht über den Proxy und zwar nicht über die Standleitung sondern über VDSL.
Dadurch soll die Glasfaserstandleitung etnlastet werden und soll dann nur noch für die wichtigen Services wie OpenVPN, Backups, Server etc. verwendet werden.
Generell soll einfach der Clienttraffic von den Endgeräten über die VDSL Leitung laufen. Die verschiedenen Browser (Edge, Firefox, Chrome) kann ich per Policy steuern und damit einen Proxy zuweisen. Somit kann nur noch über den Proxy gesurft werden.
EDIT:
Ich hoffe es ist nun klarer geworden? Welche Infos werden von der Firewall nun benötigt? -
@johndo said in Konfigurationsunterstützung Routing zweimal Netgate - 1x Standleitung und 1x DSL als Proxy:
Ich hoffe es ist nun klarer geworden?
Ja.
Doch die Frage, warum es dafür eine zweite Box braucht, bleibt noch offen.
Ist die XG-7100 performancemäßig schon so ausgelastet? Wäre der einzige plausible Grund für mich.Und auf der zweiten Box soll dann Squid laufen?
Und wofür wäre das VLAN? Musst du für die Verbindung der beiden pfSense bestehende Hardware wie NICs und Leitungen verwenden?
-
Und wie sind die Geschwindigkeiten und Auslastungen auf den Leitungen.
Über GBit symmetrisch lassen sich einige User Richtung Internet abwickeln, ohne das es gleich eng wird.
Laufen die Backups im Tagesbetrieb?
-
Hi,
ehrlich gesagt hab ich da gar nicht im Kopf gehabt das über die bestehende XG-7100 zu machen…das heißt einfach auf ein ETH Interface sie VDSL Leitung einrichten und fertig?
Letztendlich hab ich die SG-3100 „übrig“ daher dachte ich das wäre sinnvoll. Ja, die Idee war Squid Proxy nur auf dieser Box laufen zu lassen.
Die beiden Netgates stehen nicht im gleichem Gebäude. Daher würden beide auf jeweils einen Switch gehen. Daher dachte ich an ein VLAN.
Also wäre es sinnvoller nur eine Netgate mit zwei Internetanschlüssen zu verwenden?
-
Hi,
die Standleitung hat aktuell 300MBit synchron was ausreichend ist.
Die VDSL Leitung hat 300Mbit/60Mbit.
Preislich macht es aus meiner Sicht mehr Sinn einfach einen Teil über VDSL laufen zu lassen als die Standleitung auf 1GBit anzuheben.
-
Ok, in dem Fall würde ich das alles über eine Box machen, die 71er hat deutlich mehr Power als die 31er, die kannst mal für den Notfall aufheben.
Dann kannst du in der Box mit Policy bases Routing das raus routen über 2 GW Gruppen, die eine für Server mit Glas first und DSL Backup und die andere für Clients umgekehrt.
Wenn Clients bei DSL Ausfall kein Internet mehr brauchen, kannst das auch weglassen, aber so hätten die dann beide einen Plan B.Ob jetzt noch ein Proxy dazwischen kommt oder nicht, ist eine andere Sache.
-
@johndo
pfSense kann sehr gut mehrere WANs handlen. Ich würde mir da keine zweite für Proxy hinstellen, es sei denn aus Performancegründen.Ich weiß aber nicht, ob Policy Routing problemlos auch über Proxy funktioniert. Mit Squid habe ich keine Erfahrung. Ich denke aber, dass man im Transparentmode ganz normal policy-routen kann.
Ja, wenn du eine zweite Box dafür einsetzt und diese anderswo steht und ein bestehende Leitung für die Verbindung verwendet werden soll / könnte, ist VLAN natürlich das Mittel der Wahl, um den Traffic zu separieren. Hier aber auch die verfügbaren Hardware-Bandbeiten berücksichtigen.
Edit: Was mir aber nicht klar ist: die zweite Box steht in einem anderen Gebäude, die DSL Leitung wäre aber auf der 7100 auch greifbar?
-
Hi,
die beiden Gebäude sind mit einer Glasfaserleitung verbunden, und auf beiden Seiten stehen je ein Switchstack.
Am Switchstack1 hängt die XG-7100 mit einer Glasfaserleitung, allerdings vom Router zur Netgate mit RJ45 an ETH1. Also nicht Glasfaser direkt auf ix0/ix1.
Die SG-3100 steht in einem anderen Gebäude und hängt am Switchstack2. An der Netgate ist die VDSL Leitung am WAN Anschluss.
Daher dachte ich es ist eventuell einfacher die beiden Netgates per LAN zu verbinden. Und dann einfach alles was auf das Proxynetz zugreift auf die SG-3100 zu routen um dort ins Internet zu gelangen.
Letztendlich kann ich aber auch den VDSL Anschluss per VLAN7 auf die XG-7100 auf ETH2 Port bringen.
Was wäre den sinnvoller?
Von der Konfiguration würde mir das Thema mit den zwei Boxen gefallen da ich gerne wissen würde wie es geht
wenn es nicht sinnvoll ist, auch ok dann mache ich es mit einer Netgate. -
Ja mag spannend sein das mal zu bauen, aber du hast dann immer 2 Kisten die du warten, konfigurieren, pflegen und auch bei Fehler im Detail untersuchen musst.
Ich würde es mit der 71er machen, das DSL Modem im anderen Gebäude mit Vlan 7 raus werfen und in die 71er über den LWL Uplink zwischen den Stacks rüber schicken.
-
Ok, das klingt auch etwas einfacher :-). Ich kenne auf einer Netgate bisher immer nur ein WAN Interface. Gibt es da irgendwo eine Konfig wo ich ein zweites ETH Interface als WAN definieren kann? Weil das Regelwerk im WAN Interface ist ja speziell dafür gedacht. Oder baut man das einfach nach?
-
@johndo said in Konfigurationsunterstützung Routing zweimal Netgate - 1x Standleitung und 1x DSL als Proxy:
Von der Konfiguration würde mir das Thema mit den zwei Boxen gefallen da ich gerne wissen würde wie es geht wenn es nicht sinnvoll ist, auch ok dann mache ich es mit einer Netgate.
Wie du oben schreibst, ein Netzwerksegment, in dem nur die beiden Boxen sind (Transitnetz). Das kann auch ein /30er oder /31er sein.
Mit VLANs scheinst du ja eh vertraut zu sein.Zum Routen: Nachdem die Leitung zur DSL-Box ausschließlich für Upstream-Traffic verwendet wird, würde ich das natten. Ist einfacher.
D.h. auf der XG 7100 gibst du in der Interface-Konfiguration die Transitnetz-IP der anderen Box als Gateway an. Fertig, vorausgesetzt, das Outbound NAT ist im Automatik- oder Hybrid-Modus.Dann erstellt pfSense eine Regel auf dem Interface und nattet ausgehende Pakete auf ihre Interface IP. Damit finden die Antworten auch wieder hierher zurück, ohne dass du auf der anderen Box Routen anlegen musst.
Dann brauchst du den HTTP/S Traffic nur noch policy-routen.
Edit:
Ob du dann den Proxy auf dieser oder auf der anderen Box laufen lässt, kannst du dir dann noch aussuchen. -
LAN oder WAN ist doch egal.
Neues Int anlegen, die beiden Boxen unten bei WAN mit public IP setzten, bei dir ja als PPPoE anlegen mit Tagg auf dem Switchport oder auf der pfSense als Sub Int.
Outbound NAT brauchst du.
Bei DSL was nur raus soll, brauchst kein Inbound Regelwerk auf WAN.Regelwerk Out legst dann in einer Int Group an, da kannst dann schön mit Aliasen oder Netzobjekten arbeiten, wenn mehr als ein LAN da raus soll.
Denn du brauchst ja das Int als Ziel.
Zudem dann noch den Proxy mit rein bauen.
Inet mag über Proxy gehen, aber das eine oder andere will dann doch wieder direkt mit dem Gegenüber sprechen.Bei 2 WAN auf einer Box bitte mit Primary/Secondary von der Prio arbeiten oder und mit Stickyness arbeiten.
So oder so hast du auf einer Kiste schon mehr Möglichkeiten als beim größten schweizer Messer.
-
Ich versuche beides mal umzusetzen :-). Was mit dann besser gefällt behalte ich bei.
Ich melde mich nochmal sobald ich vor der Kiste sitze :-).
