Anfängerproblem
-
Hallo,
im Normalfall hast du - wenn du alles richtig gemacht hast - nur eine Gateway Group.
Du erstellst eine Group.
In diese Gruppe packst du sowohl WAN als auch OPT1.
Der Gateway, welcher FAILOVER sein soll, bekommt eine höhere "Tier" als der gateway, der im Normalfalls genutzt werden soll.
Fällt der gateway mit Tier 1 aus, dann springt automatisch der Gateway mit der nächst höheren Tier ein.
Gateways mit gleicher Tier betreiben Loadbalancing im Round Robin Verfahren. Fällt ein gateway aus, ist der andere weiterhin aktiv.Du hast also vermutlich die gateway Gruppe falsch erstellt.
Weiterhin hast du bzgl. der Funktionsweise einer Firewall glaube ich einen Gedankenfehler oder ich habe es missverstanden:
Die "any" Regel auf dem LAN interface erlaubt selbstverständlich sämtlichen Traffic vom LAN ins WAN (WAN oder OPT1) (wie als gäbe es keine Firewall).
Der Verkehr aus dem Internet in dein LAN hinein wird hingegen über die Firewallregelns von WAN/OPT1 geregelt. Und diese haben standardmässig keine Regel eingerichtet, was bedeutet, dass alles blockiert wird. -
Hallo,
die Grundsätzliche Failovereinstellung hatte ich verstanden und auch richtig eingestellt aber ich hatte für beide Fälle, also wan fällt aus opt1 übernimmt und opt1 fällt aus und wan übernimmt ein Failover eingerichtet. Ist aber ja Blödsinn…
Was die Funktionsweise angeht, hatte ich tatsächlich einen Denkfehler in der Konfiguration der Regeln der Interfaces.
Zusätzlich würde ich gerne den gesamten Netzwerkverkehr loggen. Ist das Möglich.
Vielen Dank. -
Ahoi,
nein das ist nicht unbedingt Unsinn. Man kann zB 2 Failover Gruppen nutzen. Eine mit WAN primary, OPT1 secondary und eine umgekehrt. Gerade wenn OPT1 zB die kleinere Leitung ist aber einen höheren Upstream hat (bspw. sync. 10MBit/s) und WAN async ist (100MBit/s down, 2,5MBit/s Up) kann das durchaus Sinn machen.
Dann würde man nämlich bspw. Dienste, die stark Upstream gebunden sind (bspw. einen inhouse Webserver) über OPT1 per default schicken, aber den typischen Fall "LAN nach draußen downloadet das Internet" über das Downstream-starke WAN. Trotzdem sollen ja aber beide weiterhin erreichbar sein, wenn eine Leitung ausfällt, und dazu würden 2 verschiedene Failover Gruppen mit unterschiedlichen Priorisierungen Sinn machen.Logging wäre bspw. über Netflow o.ä. möglich.
-
Hallo,
da ich hier nur 2 DSL Leitungen habe und nix synchrones, ist meine alte Konfig mit den 2 Failovers wohl hinfällig.
Btw. Kann man den Default Gateway ändern? also hinter welchem Gateway "Default" steht?
und muss überhaupt bei einem "Default" stehen?
Habe mir gerade mal netflow angesehen. Sehe ich das richtig, dass es nur den aktuellen Traffic zeigt?
Ich hatte mir eigentlich vorgestellt, zu sehen auf welchen Seiten die User gesurft sind.
Ist das denn überhaupt möglich?
Geht das mit Squid?
Danke nochmal -
JeGr hat absolut Recht, was das Failover diesbezüglich angeht. Auch bei LoadBalancing macht das Sinn, denn nicht alle Protokolle/Dienste (https) können LoadBalancing. Hier sollte man dann über ein Gateway routen. Wer weiss, vielleicht brauchst du es mal ;-)
Netflow ist - soweit ich weiss - eher für das Loggen von Datenmengen. Wenn du Webseiten loggen möchtest, dann benötigst du einen Proxyserver. Hierbei bietet sich squid an zum loggen und SARG oder lightsquid zum analysieren und optischen aufbereiten von den logs, die squid erstellt hat.
Wenn du squid nutzt, solltest du dir aber im Forum die threads durchlesen, die sich auf "Multi-WAN" und squid beziehen. Hier muss man ein paar Einstellungen durchführen, damit das (zuverlässig) funktioniert.
-
Und beachten, dass Squid, Sarg und Konsorten als Dienste auch durchaus ihre Power brauchen. Ich weiß jetzt nicht was deine pfSense Maschine CPU und RAM hat, aber gerade wenn man so tief filtern möchte, sollte man da durchaus eher mehr als weniger von haben.
Richtig, Netflow war eher IPs und Traffic. Da war die Angabe "Netzwerkverkehr" ein wenig weit gefasst, deshalb dachte ich mehr in Traffic als in User-Logging.
-
Ich kann zwar mit den Clients Grundsätzlich ins Netz aber leider sagt mir die PFsense, das Sie keine Verbindung zum Updateserver hat.
Somit kann ich natürlich auch keine Packets hinzufügen.
Was mag denn hier das Problem sein?
Ferner öffnen sich bei mir an dem PC mit dem ich in der PFsense weboberfläche arbeite hin und wieder PopUp Fenster.
Dies passiert nur im Webinterface und nur solange der PC im Netz ist.
Das sind doch wohl kaum Werbemaßnahmen? Habe ich doch irgendetwas mit dem Regeln noch falsch verstanden?
Was die Hardware angeht, habe ich denk ich n bisschen Luft nach oben.
Ist ein Dual Core mit 4GB RAM.
Einzig die SSD mit 8GB ist vll. etwas knapp gewählt aber im Zweifelsfall ja durchaus austauschbar… -
Also Werbung kommt im Webinterface zu 100% nicht. Wenn das bei dir aufploppt, dann ist das etwas lokales bei deinem Client, was das auslöst.
Keine Verbindung zum Updateserver kann einiges sein. Z.B. welchen GW nutzt die pfSense selbst? Welchen DNS? Ist für jeden Uplink ein eigener (anderer) DNS Server angegeben? Wenn das alles der Fall ist, kann es auch sein, dass der falsche Updatepfad ausgewählt ist. Einfach im Pulldown Menü nochmal den richtigen Pfad auswählen, speichern und dann nachschauen ob der Updater dann läuft (kann vorkommen, wenn man bspw. direkt 2.1RC installiert, dort hat sich 1-2x der Pfad geändert).
-
Danke schonmal.
Kann ich bei den Gateways ändern welcher als (Default) steht? -
Danke schonmal.
Kann ich bei den Gateways ändern welcher als (Default) steht?Ja, wenn du unter System –> Routing --> Gateways den haken entsprechend setzt.
-
Unter System -> Routing -> Gateways kann immer nur ein Gateway Default sein.
Jetzt habe ich gelesen, dass, damit squid funktioniert, kein Gateway auf Default stehen darf.
Ist das richtig? oder einfach nur Humbug? -
Unter System -> Routing -> Gateways kann immer nur ein Gateway Default sein.
Jetzt habe ich gelesen, dass, damit squid funktioniert, kein Gateway auf Default stehen darf.
Ist das richtig? oder einfach nur Humbug?Jetzt bin ich verwirrt. Du willst festlegen, welcher deiner vielen gateways der DEFAULT ist und dann sagst du, dass du nur einen und nicht mehrere festlegen kannst. Es kann nur einen default Gateway geben ;-)
Squid:
Keine Ahnung ob man das muss oder nicht. Was man aber braucht sind "Floating rules" anstelle der normalen Firewall Regeln - zumindest was die Ports 80 und 443 angeht, da diese durch squid geleitet werden.
Weiterhin benötigt man "tcp_outgoing_address 127.0.0.1" oder so ähnlich as squid custom options. -
Jetzt bin ich verwirrt. Du willst festlegen, welcher deiner vielen gateways der DEFAULT ist und dann sagst du, dass du nur einen und nicht mehrere festlegen kannst. Es kann nur einen default Gateway geben ;-)
Ich will nicht mehere Gateways als "Default" angeben, sondern garkeinen, da ich las das squid sonst nicht funktioniert. ;-)
Werde es aber erstmal in Ruhe ausprobieren.
Gibt ja ne Menge Infos im Netz und hier im Forum darüber.
Die PFsense an sich und das Failover laufen auf jeden Fall zuverlässig.
Vielen Dank dafür.
Sollte ich noch Probleme haben melde ich mich.
