2x WAN WAN group & IPs über WAN(2) ins internet schicken [SOLVED]



  • Kann diese Konstellation Probleme in der Konfiguration verursachen.

    2x WAN
    beide WAN-IF in einer WANgroup um Konfig arbeit (firewal rules) zu ersparen

    und dann eine firewall-rule (advanced --> gateway) ein device (static-ip)
    über das nicht default WAN rauszuschicken ?

    sollte doch machbar sein
    und kein Bauchweh verursachen
    oder ?


  • LAYER 8 Rebel Alliance

    Ohje wie viele Rules hast du auf den WANs damit die in eine Group müssen um Arbeit zu sparen? :-)
    Aber klar kann man machen, das hat ja mit dem Policy Routing nichts zu tun.

    -Rico



  • hihi ;)
    jop ich dachte ich spar mir arbeit ... aber naja
    2 WAN s funktionieren
    kann versch Geräte über die gateways rausschicken sehr cool und passt

    tja wenn ich die in eine Interface group steck

    dann fliegt mir das interface um die ohren (link weg) if down ... 502 gateway usw.

    also gruppe auflösen und alles rennt ...

    so jetzt regeln lesen / verstehen und nachdenken was man falsch gedacht hat

    ach ja und den alarm code aufschreiben um die Frau Mutter bzw. die Nachbarn nicht zu wecken wenn man nicht mehr die BOX kommt ;)

    ich glaub ich geh schlafen :)


  • LAYER 8 Rebel Alliance

    Hmmm in der aktuellen Doku doch nicht empfohlen, macht reply to kaputt: https://docs.netgate.com/pfsense/en/latest/book/interfaces/interfacetypes-groups.html

    -Rico



  • @Rico

    na bumm .....

    erklärt wieso das ganze Werk rennt wenn du die rules aus der Gruppe
    auf das Interface packst !

    ich packs nicht und der @JeGr hatte gestern wieder mal recht .... zuerst in der doku nachlesen dann machen ... oder so ;)

    so ich markiers als Solved!
    danke f HInweis mit Doku, hätte ich wieder mal nicht gecheckt.

    lgNP



  • @noplan

    Ich kann es echt reproduzieren
    WAN group an und rules die Geräte über WanX rausschicken interfaces (WAN) und box laufen Amok ohne rules für die Geräte alles OK

    Keine WAN group auf allen WANs die gleichen FWrules an und Geräte und rules f die Geräte WanX zu nehmen es funktioniert

    Jo auch fein zu wissen!


  • LAYER 8 Moderator

    @noplan said in 2x WAN WAN group & IPs über WAN(2) ins internet schicken [SOLVED]:

    Keine WAN group auf allen WANs die gleichen FWrules an und Geräte und rules f die Geräte WanX zu nehmen es funktioniert

    Jup bei Gruppierung auf WAN Interfaces (wie's in der Doku steht) oder bei Floats gibts keine Möglichkeit für PF den reply-to Part in der pf rule zu setzen (weil sich die rule auf mehrere Interfaces bezieht).

    Beispiel:

    pass in log quick on $1_WAN reply-to ( igb0 x.y.z.a ) inet proto icmp  from any to x.y.z.a icmp-type { echoreq,squench,timex,unreach } tracker 1499086500 keep state  label "USER_RULE: allow ICMP types"
    

    vs.

    pass in log quick on {  igb0  igb1  } inet proto icmp  from any to any icmp-type { echoreq,squench,timex,unreach } tracker 1600328384 keep state  label "USER_RULE: WAN test"
    

    Das erste ist ne Interface-Regel. Durch die 2 Interfaces in der zweiten als Group/Float Regel, entfällt der Backtrace via reply-to. Damit ist zwar im Beispiel die Sense von beiden WANs aus pingbar, aber ÜBER die WANs rüber klappts nicht mehr (bzw. nur noch bei dem WAN, dass das Default GW ist), weil er die Zuordnung via reply-to zum Interface und der externen IP (in der ersten Regel x.y.z.a) nicht mehr machen kann.

    Da knallt es dann bspw. auch bei VPNs etc. weswegen man ja bei OVPN bei PBR Nutzung die Interfaces rauszieht damit wieder ordentliche Zuordnungen klappen.


Log in to reply