WAN Anbindung
-
Hallo, ich habe am Standort 1 eine pfSense Firewall Appliance hinter einem DrayTec Vigor 165. Die pfSense übernimmt die Einwahl in das Telekom Netz und das DrayTec läuft als reines Modem. Wir bekommen jetzt einen 2. Standort dazu der auch fest mit Standort 1 verbunden werden soll. Am Standort 2 habe ich 2x Netgate SG-5100 in einem Cluster (CARP Protokoll) verbunden. Das Cluster ist auch schon konfiguriert und funktioniert im LAN. Kann ich das Cluster ohne doppeltes NAT ans DSL Netz bekommen? Wenn ja, wie kann ich das realisieren? Vielen Dank für Eure Hilfe.
Gruß Christian
-
@pipen1976 said in WAN Anbindung:
Kann ich das Cluster ohne doppeltes NAT ans DSL Netz bekommen? Wenn ja, wie kann ich das realisieren? Vielen Dank für Eure Hilfe.
Nein, will man bei CARP auch nicht. Es kann bei PPPoE nur ein Gerät eingewählt sein und wenn du das bei einem Cluster auf einen Node selbst packst, ist der andere tot und kann nicht mal Updates runterladen, was das normale ToDo bei einem Update mit Cluster an die Wand fährt. Man muss auch nicht auf Krampf "DoppelNAT" vermeiden. Draytec im Router Modus auf exposed Host und diesen auf die CARP-WAN-VIP gepackt und alle sind glücklich.
Grüße
-
Vielen Dank für die Antwort. Da habe ich wohl zu umständlich gedacht. Was muss ich eigentlich beachten wenn ich 2 Telekom Anschlüsse habe. Vermutlich muß ich eine zweite Virtuelle WAN CARP Adresse anlegen und den Traffic von Draytec 2 auf diese IP leiten, oder?
Gruß Christian
-
Wenn du Multi-WAN bauen möchtest für diese beiden Anschlüsse:
- für beide den Draytek in Router Mode
- internes Transfernetz zwischen Draytek und den beiden FWs
- beide Netze getrennt auflegen mit eigenem IP Range (bspw. 192.168.101/102.0/24)
- in beiden Netzen Firewalls mit eigener IP anlegen, WAN1/2 CARP VIP anlegen
- die Drayteks auf exposed Host o.ä. auf die CARP VIP konfigurieren
- auf der pfSense für beide WANs unterschiedliche Monitoring IPs hinterlegen (bspw. je 1 DNS Server über WAN1/2)
Das wars so im Groben :) Im Detail gibts da natürlich noch die ein oder anderen Punkte - aber dazu verweise ich dann mit zwinkerndem Auge auf die Signatur ;)
-
Nochmals vielen Dank. Ich versuch mal ob ich es hinbekomme. Meine IP Planung sieht so aus:
-
Oh da fällst du aber leider auf den Bauch ;) Mit einem /28 kannst du keine .254 und .1 adressieren -> dazu brauchst du die vollen /24. Macht es auch einfacher fürs Debugging.
Also:
.1 = VIP
.2 = Fwl01
.3 = Fwl02
.254 = Draytekim jeweligen Netz 192.168.98/99.0/24(!)
192.x sollte man auch nicht adressieren, das ist ein Doku o.ä. Prefix und sollte nicht einfach so im Betrieb genutzt werden. Wäre theoretisch für Sync denkbar, aber ich würde es lassen.
Zudem hast du beiden FWLs die gleiche IP für Sync reserviert. Dort entweder dann ein /30er nutzen (für 2 IPs) oder der Einfachheit halber auch ein /24 vergeben, dann hat man überall die gleiche Maske und wundert sich nicht.Grüße
-
Hallo JeGr,
nochmals vielen, vielen Dank für deine Hilfe. Ich habe das im Labor jetzt so umgesetzt. Es hat auch auf Anhieb funktioniert. Ich verwende jetzt IP Adressen im Bereich 172.16.x.x.
Gruß Christian
-
Freut mich zu lesen! :)
