Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Dual Wan & Dual ISP Projekt

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 2 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      DarkMasta
      last edited by

      Hallo Zusammen

      Habe momentan 2 pfsense mit pfync und Carp Interface auf der LAN Seite, funktioniert eigentlich "fast" alles einwandfrei.  ;D
      ISP 1 ist für den Internet Traffic bzw. alles.
      ISP 2 ist nur für die DNS Auflösung von Aussen

      Jetzt stehe ich vor dem nächsten Projekt.
      Ist es möglich das ISP 1 ein CARP Interface bekommt auf der pfsense und ISP2 als Failover agiert? Er müsste aber weiterhin als DNS Server agieren können?
      Bedeutet es darf nicht auf Standby gehen sondern muss immer aktiv sein und nur bei Aussfall von ISP1 müsste aller Traffic über ISP2 gehen.

      Ich habe bei ISP 1 und ISP 2 unterschiedliche öffentliche IPs

      Ich hoffe ich konnte das einigermaßen Verständlich erklären.

      Bin auch offen für bessere Netzwerk Konstruktionen.  ;)

      Gruss DarkMasta

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ich hoffe ich konnte das einigermaßen Verständlich erklären.
        Nicht so ganz ;)

        Ist es möglich das ISP 1 ein CARP Interface bekommt auf der pfsense und ISP2 als Failover agiert?
        Du bist dir sicher, dass du CARP meinst? Inwiefern willst du bei ISP1 CARP nutzen, bringt der dir 2 gleichbeschaltete Leitungen? Und was hat ISP2 damit zu tun?

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • D
          DarkMasta
          last edited by

          Nicht so ganz ;)
          Habe ich mir fast gedacht, wusste einfach nicht wie ich es erklären soll.

          Versuche jetzt das Projekt Schritt für Schritt zu erklären bzw. durchzuführen :)

          pfsense1 WAN: 192.168.1.5 /24
          pfsense2 WAN: 192.168.1.6 /24

          Neue Virtual IP erstellt:
          CARP WAN (VHID Group 11): 192.168.1.9 /24

          Ping auf das neue CARP WAN Interface von der WAN Seite funktioniert einwandfrei.
          Momentan kann ich die Firewalls über die WAN Schnittstellen verwalten, leider gilt das nicht für die neue CARP WAN Adresse.
          Sollte nicht jetzt auf https://192.168.1.9 die MASTER Firewall angezeigt werden?

          Vielen Dank für eure Hilfe

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Hi DarkMasta,

            ja das sollte angezeigt werden, allerdings nur, wenn du die IP auch freigegeben hast. Die Standardregel heißt ja "Interface Address" und damit ist die CARP IP nicht enthalten. Hast du die CARP VIP explizit per Regel freigegeben?

            Grüße

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • D
              DarkMasta
              last edited by

              Hallo Zusammen

              Ahh Carp IP sind nicht gleich WAN addresse, wieder was gelernt.
              Habe jetzt die Regel auf WANnet gestellt und alles funktioniert  :)
              Danke JeGr

              Jetzt habe ich einen Failover für die physischen pfsense Firwalls.
              Wenn mir aber der ISP temporär den Dienst kündigt würde mir das nicht helfen.

              Daher habe ich jetzt auf der Firewall 1 einen weiteren Port aktiviert.
              WAN2: 172.16.0.100 / 16 mit dem passenden Gateway.

              Die DNS wurden auch angepasst
              8.8.8.8 = GW1
              8.8.4.4 = GW2

              Gateway Group erstellt
              WAN1: Tier 1
              WAN2: Tier 2
              Trigger Level auf Member Down
              Die Überlegung auf Member Down ist das es der 2. ISP mir eine sehr kleine Leitung gegeben hat und ich wegen einem fehlenden Paket nicht alles gleich auf den 2. ISP switchen will…daher "Member down" (Notbetrieb)

              Das sollte mir einen Failover für den ISP geben oder?
              Habe Test-halber einen ping auf 8.8.8.8 gesetzt und das Kabel von WAN1 gezogen und der Client hat nach einem fehlenden ping wieder fröhlich an weiter gepingt  ;D

              Gruss DarkMasta

              edit: Kann es sein das noch zusätzliche Firewall Rules auf diese neue Gateway Group zielen müssen?

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.