Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Hardware Planung

    Scheduled Pinned Locked Moved Deutsch
    17 Posts 8 Posters 5.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      digidax
      last edited by

      Und da rebellieren die Galaxy S2 User bei uns: bei einem User haben wir auf ICS ubdatet: wesentlich kürzere Akkulaufzeit. Leider gibt es bislang keine Möglichkeit wieder auf Gingerb. down zu graden…

      1 Reply Last reply Reply Quote 0
      • GruensFroeschliG
        GruensFroeschli
        last edited by

        @digidax:

        Hi,

        bin etwas verwundert, dass erst 3 Monate nach Stellung meiner Frage Antworten kommen, die aber dann trotzdem beantwortet werden - vielen Dank. War etwas mit meiner Anfrage nicht in Ordnung oder habe ich etwas falsch gemacht?

        Der englische Teil ist wesentlich aktiver.

        Da ich noch das alte Gateway (IP Cop) im Netz habe mal ne blöde Frage:
        Unter Windows kann man mehrere Gateways eintragen, über welche man die Daten ins Internet schickt - die Metrik entscheidet.
        Geht das auch unter Linux? Eigentlich gibt es ja nur EIN Default Gateway.

        pfSense ist nicht linux ;)

        Was du machen kannst:
        Wie slu schon erwähnte, kannst du die multiWAN Fähigkeit von pfSense nutzen.
        Erzeuge von Hand unter "System–>Routing" einen neuen Gateway.
        Diesen kannst du nun in den Firewallregeln verwenden um Traffic an einen bestimmten Gateway zu forcen.
        Alternativ kannst du auch einen loadbalancing/failover pool erzeugen in dem dein neuer gateway und der alte drin sind um beide zu nutzen.

        Google mal nach pfSense und multiWAN, da findest du viele Guides und Anleitungen.

        We do what we must, because we can.

        Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

        1 Reply Last reply Reply Quote 0
        • D
          digidax
          last edited by

          Die Multi-WAN Fähigkeit nutze ich ja bereits.
          Mir geht es um einen Linux Host 192.168.1.1 der im LAN Subnetz ist, in welchem es ein Gateway (Router) mit der 192.168.1.254 und ein Gateway mit 192.168.1.253 gibt. Über beide Router komme ich ins Internet (inkl DNS Forwarding).

          Mann kann nun als Default Route entweder:

          0.0.0.0        192.168.1.254 0.0.0.0        UG    0      0        0 eth0
          oder
          0.0.0.0        192.168.1.253 0.0.0.0        UG    0      0        0 eth0

          hinterlegen. Aber wäre diese Konstruktion möglich?:
          0.0.0.0        192.168.1.254 0.0.0.0        UG    0      0        0 eth0
          0.0.0.0        192.168.1.253 0.0.0.0          U    0      0        0 eth0

          Der host sucht sich also selbst aus (per Zufall?) welches Gateway er für Pakete außerhalb seines Subnetzes nutzt bzw. leitet er wenn ein Gateway ein Portforwarding von außen nach innen macht dann auch über das betreffenden Gateway wieder die Pakete nach außen?

          1 Reply Last reply Reply Quote 0
          • GruensFroeschliG
            GruensFroeschli
            last edited by

            Nein das ist nicht möglich.
            Wozu willst du das denn machen?
            Befindet sich im Subnetz vor diesem zweiten Gateway etwas, auf das du zugreifen können musst?

            We do what we must, because we can.

            Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

            1 Reply Last reply Reply Quote 0
            • D
              digidax
              last edited by

              Einfach als failover Lösung, wenn das GW .254 nicht erreichbar ist, dann das .253 nehmen.
              Für eine eingehende Portweiterleitung hätte ich dann auch zwei GW's - falls mal das eine nicht funktioniert.

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Eine Failover Lösung wird nicht im Client gebaut. Das ist von Netzwerkersicht her Blödsinn (technisch, ich meine nicht euch damit :)).

                Wenn ihr eine Failover Lösung bauen wollt, dann implementiert das sinnvoll in pfSense. Diese bekommt zwei WANs definiert, einen Failover-Pool und das Standard Gateway wird auf den Failover Pool gesetzt. Done. Fällt eine Strecke aus, wird die andere genommen. Wenn man das Ganze als LoadBalancing definieren möchte (ich vermute mal so wird es nach wie vor gemacht, mein letzter LB/HA Pool ist ein Weilchen her), nutzt man 2 Failover Pools, jeder mit der jeweils anderen Strecke als primary und der zweiten als secondary (also einmal WAN1,WAN2 und einmal WAN2,WAN1). Dann nimmt man diese beiden FailOver Pools und steckt sie in ein LB-Pool. Et voilà :)

                Das ganze kann dann via Firewall Regeln auch noch für einzelne IPs oder ganze IP Ranges definiert werden, wer welches Gateway bekommen soll.

                Grüßend
                Jeg

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • D
                  digidax
                  last edited by

                  So habe ich das auch implementiert, sogar noch mit einem 3 WAN Interface (UMTS Surfstic) und die Failover Pools nach Services gegliedert. Demnach würde dann nur noch Email und die MySQL Replikation im schlechtesten Fall (WAN 1+2 beide down) über den Surfstick (WAN 3) laufen, FTP und alles andere nicht mehr.

                  Was aber, wenn z.B. das Netzteil der pfSense Appliance einen Treffer hat? Dann bleibt nur noch CARP oder? Hat jemand schon einmal CARP probiert? Wenn ich z.B. ein Portforwarding in der einen Appliance einrichte, repliziert die andere dann automatisch die Konfiguration der Ersten?

                  lg
                  Frank

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    Hat jemand schon einmal CARP probiert?

                    Ist das eine ernst gemeinte Frage? ;) Schließlich ist Clustering/HA eines der Kernfeatures von pfSense!
                    Ja natürlich hat das schon "jemand" getestet. Die Frage ist eben immer, wie die WAN Anschlüsse implementiert sind. Ein Multi-WAN über bspw. 2x PPPoE Anschlüsse ist schwierig(er) in einem HA Setup herzustellen als (halbwegs) echte Standleitungen.

                    Und ja, bei CARP ist ein Gerät Master, eines Slave. Über die HA IP erreicht man das gerade aktive (wenn der Master nicht gerade aus ist, denselbigen). Und man kann natürlich einstellen, was alles auf den/die Slaves gesynct werden soll. Es verhält sich im Normalfall genau so, wie ihr vermutet, dass Einträge auf dem Master direkt nach speichern per XMLRPC auf den Slave gesichert werden. Es werden nur noch Einstellungen am Master nach dem initialen Sync vorgenommen, auf dem Slave ist im Normalfall keine Arbeit notwendig.

                    Grüßend
                    JeG

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • GruensFroeschliG
                      GruensFroeschli
                      last edited by

                      @digidax:

                      Einfach als failover Lösung, wenn das GW .254 nicht erreichbar ist, dann das .253 nehmen.
                      Für eine eingehende Portweiterleitung hätte ich dann auch zwei GW's - falls mal das eine nicht funktioniert.

                      Ich hatte gerade ein interessantes Gespräch mit einem Mitarbeiter über dieses Thema.
                      Unser Ergebnis: ja es ist möglich, aber du willst es eigentlich nicht :)

                      Der Hack wäre: permanent ein Skript am laufen haben welches alle Sekunde oder so deinen primären Gateway pingt. Sollte der Gateway einmal nicht mehr antworten, fügt das Skript zwei statische Routen zur routing Tabelle (0.0.0.0/1 und 128.0.0.0/1) welche auf den zweiten Gateway zeigen. Anwortet der Gateway wieder, werden die Einträge wieder entfernt. Ist von Prinzip her dasselbe wie was OpenVPN macht um sämtlichen Traffic durch den Tunnel zu forcen.
                      Aber wie gesagt, es ist hackisch und du willst das nicht wirklich.

                      We do what we must, because we can.

                      Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

                      1 Reply Last reply Reply Quote 0
                      • D
                        digidax
                        last edited by

                        Das ist ja mal ne Klasse Diskussion. Vielen Dank.
                        Die Idee mit dem switchen der Routing Tabelle hatte ich auch schon, ich hätte das dann per heartbeat Script realisiert.
                        Die CARP Methode ist aber dann die besser, da Änderungen automatisch synchronisiert werden.

                        Solle auch gehen, da ich an WAN 1 und 2 jeweils eine öffentliche statische IP habe. WAN 3 wir mit per UMTS router geliefert aber da benötige ich kein eingehendes Portforwarding.

                        lg und Vielen Dank,
                        Frank

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.