Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    WAN Anbindung

    Deutsch
    2
    8
    718
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pipen1976
      last edited by

      Hallo, ich habe am Standort 1 eine pfSense Firewall Appliance hinter einem DrayTec Vigor 165. Die pfSense übernimmt die Einwahl in das Telekom Netz und das DrayTec läuft als reines Modem. Wir bekommen jetzt einen 2. Standort dazu der auch fest mit Standort 1 verbunden werden soll. Am Standort 2 habe ich 2x Netgate SG-5100 in einem Cluster (CARP Protokoll) verbunden. Das Cluster ist auch schon konfiguriert und funktioniert im LAN. Kann ich das Cluster ohne doppeltes NAT ans DSL Netz bekommen? Wenn ja, wie kann ich das realisieren? Vielen Dank für Eure Hilfe.

      Gruß Christian

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        @pipen1976 said in WAN Anbindung:

        Kann ich das Cluster ohne doppeltes NAT ans DSL Netz bekommen? Wenn ja, wie kann ich das realisieren? Vielen Dank für Eure Hilfe.

        Nein, will man bei CARP auch nicht. Es kann bei PPPoE nur ein Gerät eingewählt sein und wenn du das bei einem Cluster auf einen Node selbst packst, ist der andere tot und kann nicht mal Updates runterladen, was das normale ToDo bei einem Update mit Cluster an die Wand fährt. Man muss auch nicht auf Krampf "DoppelNAT" vermeiden. Draytec im Router Modus auf exposed Host und diesen auf die CARP-WAN-VIP gepackt und alle sind glücklich.

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • P
          pipen1976
          last edited by

          Vielen Dank für die Antwort. Da habe ich wohl zu umständlich gedacht. Was muss ich eigentlich beachten wenn ich 2 Telekom Anschlüsse habe. Vermutlich muß ich eine zweite Virtuelle WAN CARP Adresse anlegen und den Traffic von Draytec 2 auf diese IP leiten, oder?

          Gruß Christian

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by JeGr

            Wenn du Multi-WAN bauen möchtest für diese beiden Anschlüsse:

            • für beide den Draytek in Router Mode
            • internes Transfernetz zwischen Draytek und den beiden FWs
            • beide Netze getrennt auflegen mit eigenem IP Range (bspw. 192.168.101/102.0/24)
            • in beiden Netzen Firewalls mit eigener IP anlegen, WAN1/2 CARP VIP anlegen
            • die Drayteks auf exposed Host o.ä. auf die CARP VIP konfigurieren
            • auf der pfSense für beide WANs unterschiedliche Monitoring IPs hinterlegen (bspw. je 1 DNS Server über WAN1/2)

            Das wars so im Groben :) Im Detail gibts da natürlich noch die ein oder anderen Punkte - aber dazu verweise ich dann mit zwinkerndem Auge auf die Signatur ;)

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • P
              pipen1976
              last edited by pipen1976

              Nochmals vielen Dank. Ich versuch mal ob ich es hinbekomme. Meine IP Planung sieht so aus:

              73dbe0a1-80c7-40ac-8442-92619e150094-grafik.png

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Oh da fällst du aber leider auf den Bauch ;) Mit einem /28 kannst du keine .254 und .1 adressieren -> dazu brauchst du die vollen /24. Macht es auch einfacher fürs Debugging.

                Also:

                .1 = VIP
                .2 = Fwl01
                .3 = Fwl02
                .254 = Draytek

                im jeweligen Netz 192.168.98/99.0/24(!)

                192.x sollte man auch nicht adressieren, das ist ein Doku o.ä. Prefix und sollte nicht einfach so im Betrieb genutzt werden. Wäre theoretisch für Sync denkbar, aber ich würde es lassen.
                Zudem hast du beiden FWLs die gleiche IP für Sync reserviert. Dort entweder dann ein /30er nutzen (für 2 IPs) oder der Einfachheit halber auch ein /24 vergeben, dann hat man überall die gleiche Maske und wundert sich nicht.

                Grüße

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • P
                  pipen1976
                  last edited by

                  Hallo JeGr,

                  nochmals vielen, vielen Dank für deine Hilfe. Ich habe das im Labor jetzt so umgesetzt. Es hat auch auf Anhieb funktioniert. Ich verwende jetzt IP Adressen im Bereich 172.16.x.x.

                  Gruß Christian

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    Freut mich zu lesen! :)

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.