2x WAN WAN group & IPs über WAN(2) ins internet schicken [SOLVED]

noplan

Kann diese Konstellation Probleme in der Konfiguration verursachen.

2x WAN
beide WAN-IF in einer WANgroup um Konfig arbeit (firewal rules) zu ersparen

und dann eine firewall-rule (advanced --> gateway) ein device (static-ip)
über das nicht default WAN rauszuschicken ?

sollte doch machbar sein
und kein Bauchweh verursachen
oder ?

Rico

Ohje wie viele Rules hast du auf den WANs damit die in eine Group müssen um Arbeit zu sparen? :-)
Aber klar kann man machen, das hat ja mit dem Policy Routing nichts zu tun.

-Rico

noplan

hihi ;)
jop ich dachte ich spar mir arbeit ... aber naja
2 WAN s funktionieren
kann versch Geräte über die gateways rausschicken sehr cool und passt

tja wenn ich die in eine Interface group steck

dann fliegt mir das interface um die ohren (link weg) if down ... 502 gateway usw.

also gruppe auflösen und alles rennt ...

so jetzt regeln lesen / verstehen und nachdenken was man falsch gedacht hat

ach ja und den alarm code aufschreiben um die Frau Mutter bzw. die Nachbarn nicht zu wecken wenn man nicht mehr die BOX kommt ;)

ich glaub ich geh schlafen :)

Rico

Hmmm in der aktuellen Doku doch nicht empfohlen, macht reply to kaputt: https://docs.netgate.com/pfsense/en/latest/book/interfaces/interfacetypes-groups.html

-Rico

noplan

@Rico

na bumm .....

erklärt wieso das ganze Werk rennt wenn du die rules aus der Gruppe
auf das Interface packst !

ich packs nicht und der @JeGr hatte gestern wieder mal recht .... zuerst in der doku nachlesen dann machen ... oder so ;)

so ich markiers als Solved!
danke f HInweis mit Doku, hätte ich wieder mal nicht gecheckt.

lgNP

noplan

@noplan

Ich kann es echt reproduzieren
WAN group an und rules die Geräte über WanX rausschicken interfaces (WAN) und box laufen Amok ohne rules für die Geräte alles OK

Keine WAN group auf allen WANs die gleichen FWrules an und Geräte und rules f die Geräte WanX zu nehmen es funktioniert

Jo auch fein zu wissen!

JeGr

@noplan said in 2x WAN WAN group & IPs über WAN(2) ins internet schicken [SOLVED]:

Keine WAN group auf allen WANs die gleichen FWrules an und Geräte und rules f die Geräte WanX zu nehmen es funktioniert

Jup bei Gruppierung auf WAN Interfaces (wie's in der Doku steht) oder bei Floats gibts keine Möglichkeit für PF den reply-to Part in der pf rule zu setzen (weil sich die rule auf mehrere Interfaces bezieht).

Beispiel:

pass in log quick on $1_WAN reply-to ( igb0 x.y.z.a ) inet proto icmp  from any to x.y.z.a icmp-type { echoreq,squench,timex,unreach } tracker 1499086500 keep state  label "USER_RULE: allow ICMP types"

vs.

pass in log quick on {  igb0  igb1  } inet proto icmp  from any to any icmp-type { echoreq,squench,timex,unreach } tracker 1600328384 keep state  label "USER_RULE: WAN test"

Das erste ist ne Interface-Regel. Durch die 2 Interfaces in der zweiten als Group/Float Regel, entfällt der Backtrace via reply-to. Damit ist zwar im Beispiel die Sense von beiden WANs aus pingbar, aber ÜBER die WANs rüber klappts nicht mehr (bzw. nur noch bei dem WAN, dass das Default GW ist), weil er die Zuordnung via reply-to zum Interface und der externen IP (in der ersten Regel x.y.z.a) nicht mehr machen kann.

Da knallt es dann bspw. auch bei VPNs etc. weswegen man ja bei OVPN bei PBR Nutzung die Interfaces rauszieht damit wieder ordentliche Zuordnungen klappen.