Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    MultiWAN mit Outbound Regeln bzw. Firewall Rules

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 2 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      DarkMasta
      last edited by

      Hallo Zusammen

      Brauche kurz ein wenig Gedankenstütze  :D

      Habe mehrere Vlans, mehrere öffentliche IPs und Outbound Regeln für die verschiedenen Vlans.

      Bedeutet VLAN1 geht über IP A ins Internet und VLAN2 über IP B.
      Bis hier funktioniert noch alles einwandfrei.

      Versuche jetzt noch Multi WAN mit Failover zu konfigurieren.
      Abgesehen von den Schnittstellen habe ich einen zusätzlichen Gateway hinzugefügt System > Routing und unter Groups den Failover aktiviert.

      Und jetzt kommt mein Problem bzw. ich habe keinen Druchblick.
      Unter NAT: Outbound habe ich die öffentliche IP vom ISP1 hinterlegt. Doch wenn der ISP down geht soll er eine Verbindung mit ISP2 herstellen.
      Brauche ich für jedes VLAN zwei Outbound Regeln (einmal ISP1 und einmal ISP2)?

      https://doc.pfsense.org/index.php/Multi-WAN
      Was mich auch verwirrt in diesem Dokument sind die Firewall Rules. Müsste ich bei jeder Firewall Regel die ins Internet zielt die Gateway Group angeben oder jegliche Rules?

      Vielen Dank für eure Hilfe

      Mit freundlichen Grüssen
      DarkMasta

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ahoi,

        prinzipiell ist ein VLAN wie ein zusätzliches Interface zu behandeln. Ergo ist dafür sowohl eine ausgehende NAT Regel notwendig mit abgehender IP Definition. Zusätzlich natürlich eine Regel, was von diesem Interface nach wohin erlaubt ist. Hat man nur ein WAN und keine VIPs, ist das alles.
        Bei Multi-WAN wird das zweite WAN zusätzlich konfiguriert. Will also LAN/VLAN über zweites WAN nach draußen, braucht es auch eine zweite NAT Regel. Auch das wieder für jedes LAN, welches über das WAN ins Internet möchte. Um aber zu selektieren welcher Traffic via WAN1/2 läuft, braucht es Policy based Routing, welches via Filterregeln und Advanced Settings / Gateway abläuft. Legst du also jetzt eine Failover Gruppe an mit WAN1 (Master) / WAN2 (Slave), dann muss dieses GW auch bei jeder Regel definiert sein, auf die sie zutreffen soll. Wählst du statt dessen nichts aus (default / *) wird das WAN Default verwendet (meist WAN1) und sollte das Down sein, wird der Traffic nicht mehr fließen.

        Im simplen Fall müssen also auf VLAN10/20/30 je eine Regel:

        from VLAN10_net nach any allow any gateway <failover_group>definiert sein, damit es im Failover Fall auch über das zweite WAN läuft.

        Grüße</failover_group>

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • D
          DarkMasta
          last edited by

          Also wenn ich das richtig verstehe muss ich folgendes konfigurieren:

          System: Gateway
          1. Gateway von ISP 1
          2. Gateway von ISP 2 (z.B. PPPoe daher dynamic)

          System: Gateway Groups
          "WAN_Failover" konfigurieren

          Interfaces
          Interface WAN1: Öffentliche IP
          Interface WAN2: PPPoe Login Daten

          Auf den Interfaces dürfen keine Gateways hinterlegt sein oder?

          NAT Outbound
          LAN1 zu NAT Adress WAN1
          LAN1 zu NAT Adress WAN2
          LAN2 zu NAT Adress WAN1
          LAN2 zu NAT Adress WAN2
          LAN3 zu NAT Adress WAN1
          LAN3 zu NAT Adress WAN2

          Beachten das  die Leitung bzw. WAN2 immer nach WAN1 kommt nehme ich an? Da es von oben nach unten abarbeitet oder?

          Firewall Rules
          Regeln die als Internet zielen brauchen jetzt unter Advanced features -> Gateway den "WAN_Failover"?
          z.B. IPv4* VLAN1 * * * WANFailover none

          JeGr habe ich dich damit richtig verstanden? =)

          Vielen Dank

          Gruss DarkMasta

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Bei den WAN Interfaces muss natürlich ein Gateway rein. Bei PPPoE wird das automisch eingetragen, bei der Verbindung, weil es ja dynamisch ist. Bei WAN1 weiß ich nicht, wie dir das zur Verfügung gestellt wird, aber bei normalem IP Gedöns, entweder per DHCP (dann bekommst du das Gateway wieder automatisch) oder du hast ne statische IP dann müsste dir auch ein GW mitgeteilt werden :)

            Ansonsten sieht es auf den ersten Blick richtig aus.

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.