Multi LAN Traffic Shaping mit 2 PfSense hintereinander



  • Hi allerseits!

    Ich habe hier ein paar Threads gefunden, in denen beschrieben wird, dass der Traffic Shaper in Multi-LAN Umgebungen den Download der einzelnen LANs nicht shapen kann weil altq nicht interface-übergreifend arbeitet. Das habe ich auch selbst schon feststellen müssen als ich den Traffic Shaper für VoIP konfigurieren wollte.
    In diesen wird dann oft beschrieben dass man eine zweite PfSense davor schalten könnte um diese das Traffic Shaping machen zu lassen. Jedoch habe ich herzlich wenig Lust nur dafür noch ein Hardwaregerät rumstehen zu haben…

    Wäre es denn möglich diese zweite PfSense sozusagen "virtuell" in der ersten laufen zu lassen bzw. zu simulieren? Ich denke dabei an virtuelle Interfaces, virtuelle IPs etc. und entsprechendes Routing/NAT?



  • Vielleicht zum besseren Verständnis:

    Derzeitiges Setup:

    
                               ->LAN1
                              |
            WAN------------------>LAN2
                              |
                               ->LAN3
    
    

    Mein Gedankengang geht nun in die Richtung dass innerhalb der PfSense ein "Hilfsnetz" erstellt wird, folgendermaßen:

    
                                                  ->LAN1
                                                |
            WAN----------------->"Hilfsnetz"------>LAN2
                                                |
                                                  ->LAN3
    
    

    Dann sollte es doch möglich sein, den gesamten Traffic (also zwischen WAN und Hilfsnetz) aller drei LANs zu shapen.
    Nun bleibt die Frage: Ist es möglich ein solches "Hilfsnetz" in PfSense zu erstellen, das dann für die drei LANs als Gateway arbeitet und das Ganze entsprechend zu routen?

    Oder würde das evtl. mit einer Bridge klappen wenn man dieser einen neuen Adressbereich gibt, diese als Gateway für die LANs konfiguriert und das Gateway für die Bridge die WAN-Adresse ist?



  • Nachdem ich nach wie vor in dem Thema nicht weitergekommen bin habe ich mich nun mal durchgerungen und eine zweite PfSense aufgesetzt die ich vor die vorhandene gesetzt habe:

    
    Modem---------------[PPPoE---PfSense1---10.11.100.1]--------------[10.11.100.2---PfSense2---3 LAN-Netze]------------Clients
    
    

    Ich habe ein reines DSL-Modem. Die PfSense1 baut die PPPoE-Verbindung auf. Das LAN-Interface hat die IP 10.11.100.1 ohne DHCP-Server. Internet-Zugriff ist von diesem Punkt aus möglich. An der PfSense2 habe ich nun die IP 10.11.100.2 als IP-Adresse des WAN-Interfaces und die IP 10.11.100.1 als Gateway angegeben.
    DNS-Server ist nur auf PfSense2 aktiv.

    So weit so gut, die Clients am Ende der "Schlange" haben Internetzugriff, grundsätzlich funktioniert es!
    Nun ist es aber doch so, dass ich hier eine Double-NAT Situation habe.

    Wie schaffe ich es nun NAT auf die PfSense1 zu beschränken? Auf welcher PfSense würdet ihr den DNS-Server laufen lassen?


Log in to reply