MultiWAN Port-Zuweisung
-
Hallo zusammen,
ich habe hier eine pfSense-Firewall 2.0 mit zwei Internetzugängen eingerichtet. Einmal DSL über die Telekom und einmal Sat-DSL von Toowaysat. Dafür habe ich mir Gateway-Groups eingerichtet und das Ganze mehrfach konfiguriert, also einmal als Balancer und zweimal als Failover-Lösung.
Jetzt stehe ich vor dem Problem, dass ich auf eine externe MySQL-Datenbank zugreifen muss, die aber nur Zugriffe von unserer statischen Telekom-IP zulässt. Da Sat-DSL bei uns viel schneller ist, habe ich es als Standard-Gateway konfiguriert. Ist es irgendwie möglich alles was auf Port 3306 (MySQL) nach draussen geht automatisch über die Telekom-Leitung zu verschicken?
Ich kenne mich mit der Materie leider überhaupt nicht aus und bin froh, dass ich es soweit überhaupt geschafft habe. Wäre nett wenn mir jemand weiterhelfen könnte :-)
Vielen Dank im voraus!
Grüße
Björn -
das geht einfach eine Regle einrichten bei der alles was den zielport 3306 (bzw kannst auch hier die ip adresse des Server und den Port eingeben und es noch weiter einzugrenzen) und dann unten einfach unter gateways das gewünsche Gateway der Telekom eintragen
wichtig ist aber das die Regel über der alow any any regel steht weil die Firewall von oben nach unten arbeitet -
Danke für die schnelle Rückmeldung :-)
Ich bin jetzt unter Firewall -> Rules. Dort habe ich ja die Reiter "Floating", jeweils einen für meine 3 Gateways (LAN, Telekom, Sat) und für mein OpenVPN.
Leider verstehe ich nicht genau, wo ich da jetzt was machen muss.
Ich habe versucht unter dem Reiter Sat eine Regel hinzuzufügen:Action: Pass
Interface: Sat
Protocol: TCP/UDP
Source: LAN Address
Source Port Range: 3306-3306
Destination: Single Host Or Alias
Address: URL unseres MySQL-Servers
Destination Port Range: 3306-3306Advances Features:
Gateway: TelekomDas funktioniert auf jeden Fall noch nicht.
Edit:
Habe das Ganze auch nochmal unter LAN ausprobiert, da ich gesehen habe, das nur da diese Allow any Regel ist und es davor eingefügt (alte Regel wurde vorher unter Sat gelöscht). Zusätzlich habe ich auch noch Source- und Destination-Type auf any ausprobiert, aber leider auch ohne Erfolg.
-
Source: LAN Address
das wäre die adresse die deine PfSense im lan hat somit würdest du nur diese über das gateway rausschicken
hier müsste die ip hin des Servers der auf den Mysql Server zugreifen will bzw wenn es alle sollen dann LAN Subnet -
Hallo Bjoern,
erstelle auf dem Interface, von dem die Verbindung zur MySQL Datenbank hergestellt werden soll, folgende Regel. Ich nutze mal das Interface LAN:
Action: Pass
Interface: LAN
Protocol: TCP/UDP
Source: LAN Address oder any
Source Port Range: any
Destination: IP des externen MySQL Servers
Destination Port: 3306
Gateway: Telekom GatewayDiese Regel platzierst du vor, als über allen anderen Regeln.
Die regeln in der Firewall der pfsense werden von oben nach unten abgearbeitet. Die erste Regel, duie zutriff, wird genutzt, alle weiteren werden ignoriert. Deswegen die Positionierung ganz oben.Thema Failover/LoadBalancing:
Gateways, die sich in einer Gruppe befinden uznd den gleichen "Tier" haben, machen automatisch Failover. Fällt einer der Gatways in dieser Gruppe aus, findet automatisch ein failover statt. Kommt der gateway wieder hoch, schaltet pfsense automatisch wieder auf LoadBalancing um.Erstellst du eine Gruppe mit Gateways wo der z.B. GW1 Tier1 hat und GW2 Tier2 bedeutet das, es wird zuerst GW1 benutzt, fällt dieser GW1 aus, wird auf den nächst höheren Tier geswitcht. Kommt GW1 wieder hoch, switcht pfsense wieder zurück auf GW1.
Wenn du unterschiedlich schnelle Leitungen hast, diese aber in LoadBalancing schalten möchtest, dann empfiehlt es sich, die Bandbreite für die Lastverteilung anzupassen.
Das Geht unter SYSTEM -> ROUTING -> Gateways. Editiere einen gateway und lege die "Weight" fest.Beispiel mit 2 Leitungen.
GW1: 100MBit Weight: 2
GW2: 50MBit Weight: 1
Das LoadBalancing der pfsense findet im Round Robin Verfahren statt, das bedeutet, 2 connections gehen über GW1, dann eine über GW2, dann wieder 2 über GW1, …
Somit wird GW1 doppelt so start "belastet" als GW2 weil er ja auch die doppelte Bandbreite hat.Grüße und viel Erfolg
-
Vielen, vielen Dank für die schnele und vor allem kompetente Hilfe :)
Jetzt klappt alles so wie es soll.
@Nachtfalke: An dichnochmal speziellen Dank für deine ausführlichen Anweisungen und den Hinweisen zum Failover. Habe ich natürlich gleich umgesetzt ;)