Load Balancing Problem

derchriis

Hallo an alle :)

Bin neu hier und hab auch schon die Suche bemüht aber leider nichts gefunden was mir geholfen hat :( Ich hoffe irgendjemand kann mir weiterhelfen. :)

Folgende Situation: pfSense 1.2.2 embedded auf Soekris 5501, 2 ADSL 16Mbit Anschlüsse 1Mal T-Business statische IP und einmal T-Online dynamisch.

DSL-Modems: 1 Teledat DSL Modem, 1 D-Link DSL-321B

WAN1 steht auf PPPoE mit Zugangsdaten vom T-Business Acc. mit Teledat DSL Modem
OPT1 steht auf Static mit dem D-Link Modem Zugangsdaten im D-Link Modem

/(WAN PPPoE) - (DSL-Modem) - Inet1
192.168.140.50 - LAN pfSense Box
                                              (Static OPT1) - (192.168.2.1 - D-Link-DSL-Modem) - Inet2
                                                192.168.2.254

Eingerichtet habe ich das ganze mit Hilfe dieser Anleitung
http://doc.pfsense.org/index.php/MultiWanVersion1.2

Monitor IPs sind die IPs jeweils nach dem ersten Hop nach dem jeweiligen Gateway und natürlich pingbar. Allerdings habe ich das Gefühl das aus OPT1 nix rausgeht.

So und jetzt die Frage, was stimmt nicht? Darf WAN1 nicht auf PPPoE stehen?

Ich hoffe jemand kann mir helfen :)

Grüße chris

GruensFroeschli

Deine Beschreibung sieht gut aus.

Was zeigt der balancer-status unter diagnostics an?
Werden alle WANs als online angezeigt?

Wie sehen deine firewallregeln aus in denen du den balancing pool verwendest?

derchriis

Also wenn alles so eingestellt ist (also OPT1 auf Static) dann ist OPT1 offline und WAN online.

LAN Tab

Proto  Source  Port  Destination  Port    Gateway

*          LAN net  *  192.168.2.0/24  *    192.168.2.1   
TCP          LAN net  *      *                  25      WAN2FailsToWAN1    SMTP
TCP          LAN net  *      *                  443      WAN2FailsToWAN1    HTTPS
*          LAN net  *      *                  *      LoadBalance

Ich habe allerdings dann mal versucht OPT1 auf DHCP dann bekommt das Interface ja die IP vom ISP weitergeleitet (das D-Link arbeitet ja als Bridge) und dann sind beide beide Interfaces im Balancer Status auf Online allerdings habe ich dann das Problem das siich circa jedes zweite mal keine Seite aufrufen lassen, warum auch immer.

GruensFroeschli

Wenn OPT1 als offline angezeigt wird liegt da das Problem.
Versuch mal eine andere Monitor IP einzustellen.

Wenn das modem als bridge arbeitet, dann musst du das OPT1 interface als DHCP betreiben.
Ich nehme mal an du hast fü beide Leitungen denselben Provider?
Erhälst du IPs aus dem selben subnet?
Haben sie denselben gateway?
Dieser Fall kann nicht funktionieren.

Im Fall das du OPT1 statisch als 192.168.2.254 konfigurierst musst du das modem in den NAT modus versetzten (NICHT bridge mode).

derchriis

Danke schon mal für deine schnelle Hilfe. Ich glaube ich habe etwas blödsinn geredet. Das Modem arbeitet nicht im Bridge Modus sondern steht auf PPPoE und verwaltet für mich die Zugangsdaten.

Wenn OPT1 auf Static steht mit Gateway 192.168.2.1 und OPT1-Adresse auf 192.168.2.254 komme ich aus meinem LAN auf die Konfigurationsoberfläche des Modem, logisch. Dieses hat sich auch normal eingewählt, aber von "da aus geht es dann irgendwie nicht weiter".

Wenn OPT1 auf DHCP steht bekommt OPT1 ja die IP des ISP und als Gateway 192.168.2.1 zugewiesen. Dann sind WAN und OPT1 auch Online mit der gleichen Monitor IP wie zuvor auf Static. Aber dann habe ich wie beschrieben das sich circa jede zweite Seite nicht auf bauen lässt. Browser Refresh und die Seite ist da, dann wieder nicht usw.

Bezüglich der Provider. Auf WAN ist ein T-Business Anschluss und im D-Link Modem T-Online Zugangsdaten. Sprich beide haben unterschiedliche Gateways einmal 217.0.x.x und 217.5.x.x. DNS Server bekommen Sie beide den gleichen zugewiesen. Ist das so Okay oder kann das nicht funktionieren?

Nochmal Danke für deine Hilfe, hab so das Gefühl ich drehe mich als im Kreis.

derchriis

Kann es sein das ich für mein Vorhaben 2 solche D-Link Modems benötige? Also das beide WAN Interfaces auf DHCP stehen?

Wie hoba hier schreibt?

Ansonsten kann ich das mit den halbtransparenten Modems für dual pppoe nur empfehlen. Die WANs sind dann beide dhcp auf der pfSense. Die Modems kriegen die PPPoE-Zugangsdaten verpaßt und reichen die tatsächlichen öffentlichen IPs per DHCP an die pfSense durch. Kein Doppelnat, keine doppelte Firewall und die pfSense sieht die echten öffentlichen IPs (Ist besser für IPSEC, FTP Proxy, DynDNS usw).

Den Modus, den das Modem hierfür unterstützen muß nennt man "RFC 1483 Bridged" (nicht zu verwechseln mit PPPoE bridged). Das Modem macht dann die PPPoE Authentifizierung und Verkapselung und mehr nicht.

Weil momentan steht mein WAN ja noch auf PPPoE und regelt die Einwahl selbst nur an OPT1 hängt ein Modem das die Zugangsdaten selbst verwaltet.

GruensFroeschli

@derchriis:

Danke schon mal für deine schnelle Hilfe. Ich glaube ich habe etwas blödsinn geredet. Das Modem arbeitet nicht im Bridge Modus sondern steht auf PPPoE und verwaltet für mich die Zugangsdaten.

Wenn OPT1 auf Static steht mit Gateway 192.168.2.1 und OPT1-Adresse auf 192.168.2.254 komme ich aus meinem LAN auf die Konfigurationsoberfläche des Modem, logisch. Dieses hat sich auch normal eingewählt, aber von "da aus geht es dann irgendwie nicht weiter".

Wenn OPT1 auf DHCP steht bekommt OPT1 ja die IP des ISP und als Gateway 192.168.2.1 zugewiesen. Dann sind WAN und OPT1 auch Online mit der gleichen Monitor IP wie zuvor auf Static. Aber dann habe ich wie beschrieben das sich circa jede zweite Seite nicht auf bauen lässt. Browser Refresh und die Seite ist da, dann wieder nicht usw.

Bezüglich der Provider. Auf WAN ist ein T-Business Anschluss und im D-Link Modem T-Online Zugangsdaten. Sprich beide haben unterschiedliche Gateways einmal 217.0.x.x und 217.5.x.x. DNS Server bekommen Sie beide den gleichen zugewiesen. Ist das so Okay oder kann das nicht funktionieren?

Nochmal Danke für deine Hilfe, hab so das Gefühl ich drehe mich als im Kreis.

Was genau macht das modem im PPPoE modus?
Weil eine öffentliche IP vom Provider erhalten und dann aber trotzdem 192.168.2.1 als Gateway macht absolut keinen Sinn.

derchriis

Das Modem verwaltet die Zugangsdaten und wählt sich ein, stellt dann den Internetzugang zur Verfügang. Das es mit Static überhaupt nicht gehen kann mit diesem Modem habe ich gerafft, weil es ja auch garkein NAT kann. Hab mich einfach so an diese Anleitung geklammert das ich gar nicht gemerkt habe was es für nen Blödsinn ist.

Also das mit Gateway kann ich streichen. OPT1 muss wohl auf DHCP stehen. Dann erhält das OPT1 vom Modem die öffentlich IP des ISP "durchgereicht".

So stehen auch im Load Balancer Status beide Interfaces auf Online. Nur habe ich dann das beschriebene Problem das sich circa jede zweite Seite nicht aufrufen lässt.

Da wäre mir jetzt die Idee gekommen das WAN auch mit einem solchen Modem mit DHCP betrieben werden muss wie ich oben hoba zitiert habe. Wäre das möglich?

GruensFroeschli

Wenn jede zweite Seite nicht geht bedeutet dass im Normalfall, dass die Monitor IP zwar pingbar ist, das zweite WAN jedoch trotzdem down ist.
–> Es werden Daten auf ein WAN geschickt und es kommt nie eine Antwort weil die Daten im Nirvana landen.

Das rfc 1483 bridged macht generall auf den OPTx Interfaces Sinn.
Natürlich kannst du auch am normalen WAN ein solches Modem betreiben, macht aber generell keinen Unterschied da die pfSense am WAN selbst ja auch PPPoE authentikation betreiben kann.

Wenn du einfach so einen PC an deinem OPT-Modem welches die authentikation macht anschliest kriegst du dann eine IP und kannst aufs Netz?

Das mit jede zweite Anfrage geht schief, könnte auch ein MTU problem am OPT interface sein.
PPPoE lässt nur eine MTU von 1492 zu während normale Ethernet interfaces eine MTU von 1500 haben.
Kannst ja mal versuchen die MTU am OPT zu senken.

Nicht falsch verstehen bitte: Deine beharrung auf dem quote von hoba stimmt, hat aber hier keine bedeutung da dein primäres WAN schon funktioniert. Du könntest sonst keine DNS anfragen auflösen.
Dein problem liegt am OPT und so wie du es beschreibst hast du dein modem da schon in den RFC1489 bridge mode versetzt.)

derchriis

Ja wenn ich direkt ans Modem gehe mit nem Notebook bin ich sofort online ohne Probleme. Ich kam auch auf die Idee weil hoba das schrieb:

Ansonsten kann ich das mit den halbtransparenten Modems für dual pppoe nur empfehlen. Die WANs sind dann beide dhcp auf der pfSense. Die Modems kriegen die PPPoE-Zugangsdaten verpaßt und reichen die tatsächlichen öffentlichen IPs per DHCP an die pfSense durch. Kein Doppelnat, keine doppelte Firewall und die pfSense sieht die echten öffentlichen IPs (Ist besser für IPSEC, FTP Proxy, DynDNS usw).

Den Modus, den das Modem hierfür unterstützen muß nennt man "RFC 1483 Bridged" (nicht zu verwechseln mit PPPoE bridged). Das Modem macht dann die PPPoE Authentifizierung und Verkapselung und mehr nicht.

Weil so langsam gehen mir die Ideen aus. :(

derchriis

So, ich hatte heute wieder Zeit etwas zu probieren und habe mir ein zweites D-Link 321B besorgt.

Das ganze sieht nun so aus:

/(WAN DHCP) - (DSL-Modem) - Inet1
192.168.140.50 - LAN pfSense Box
                         (OPT1 DHCP)- (DSL-Modem) - Inet2

Beide Interfaces bekommen die IP des ISPs durchgereicht, was auch soweit funktioniert. Dann richte ich das Load Balancing ein, alles wunderbar. Zum Schluss will ich die FW Rules anpassen.

LAN Tab

Proto     Source     Port      Destination     Port    Gateway

TCP             LAN net      *         *                      25       WAN2FailsToWAN1     SMTP
TCP             LAN net      *         *                      443      WAN2FailsToWAN1    HTTPS
*             LAN net      *         *                      *         LoadBalance

Sobald dann alles soweit eingestellt ist kommt es zu einem Fehler. Und zwar zeigt er mir beim WAN Interface als Gateway nicht 192.168.1.1 an sondern link#2, was zu einer Fehlermeldung der FW-Konfiguration führt. Bei OPT1 bekommt das Interface das richtige GW (192.168.2.1) zugewiesen. Auch wenn ich die Ports tausche bringt das keinen Unterschied.

So langsam bin ich echt am verzweifeln. Hat jemand eine Idee?

derchriis

Hab mal einen Screenshot gemacht. Vielleicht fällt so jemandem was ein.

derchriis

So nach längerem forschen habe ich heraus gefunden das es wohl ein bekanntes Problem ist:

http://forum.pfsense.org/index.php/topic,12269.html

http://forum.pfsense.org/index.php/topic,14146.0.html

So  langsam macht es Spaß mich mit mir selbst zu unterhalten  ;D

Naja falls irgendjemand einen Lösungsvorschlag hat, bitte posten :)

Schöne Grüße

derchriis

So wollte einfach nun mal bescheid geben das mein Problem gelöst ist.

Habe jetzt einfach eine Fritz!Box mit Zugangsdaten an WAN2 gehängt und schwupps geht alles einwandfrei.

Ich habe zwar keinen blassen Schwimmer warum es mit dem halbtransparenten Modem (D-Link 321B) nicht geklappt hat, weil ich mir eigentlich sicher bin das es funktionieren müsste.

Vielleicht lag es auch an meinen Providern (T-Business DSL und T-Online).
Das ganze sieht nun so aus:

/(WAN PPPoE) - (DSL-Modem) - T-Business DSL, feste IP
192.168.1**.*** - LAN pfSense Box
                                    (OPT1 Static)- (Fritz!Box Modem Router) - T-Online dyn. IP

Naja Fragen über Fragen, auf jeden Fall bin ich heil froh das es nun läuft. Vielleicht hilft dieser Thread ja noch mal irgendwem.

Liebe Grüße

chris