MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar)
-
Hallo Zusammen,
ich benötige einmal Eure Hilfe. Leider konnte ich mit der Suche nichts gescheites finden, daher probiere ich es einfach mal hier :)
Vorab das derzeit verwendete System und die aktuelle Konfiguration:
DELL PowerEdge R210II Intel i3-3220 16GB RAM und 120GB SSD 2 LAN Schnittstellen (WAN_DSL, WAN_LTE)
Zusätzlich eingebaut Intel X550 2x 10 Gbit LAN (LAN, unbenutzt) -> angeschlossen am Arista 10Gbit Switch
darauf installiert pfSense 2.5.2 auf Sprache Deutsch eingestellt.pfsense hat die IP Adresse: 192.168.178.1 -> LAN Pv4 statisch, IPv6 kein, "Private Netzwerke und Loopback-Adressen blockieren": deaktiviert
Fritz!Box 7490 DSL Anschluss 16Mbit mit der IP Adresse 192.168.188.1 -> WAN_DSL IPv4 DHCP, IPv6 kein, "Private Netzwerke und Loopback-Adressen blockieren": deaktiviert
Fritz!Box 6880 LTE 4G mit der IP Adresse 192.168.189.1 -> WAN_LTE IPv4 DHCP, IPv6 kein, "Private Netzwerke und Loopback-Adressen blockieren": deaktiviertUnter System/Routing/Gateways habe ich jeweils den DSL Anschluss sowie den LTE Anschluss ersichtlich, welche auch beide Online sind. Gewichtung: LTE 1 und DSL 2
Unter System/Routing/Gatewaygruppen habe ich die Gruppe "MuliWAN" erstellt und beide Internetzugänge mit TIER 1 und den Trigger "Paketverlust oder hohe Latenz" eingestellt.Unter Firewall/Regeln/LAN ist eine erlaubte Regel: Schnittstelle LAN, Protokoll: alle, Erweiterte Optionen: Gateway "MuliWAN"
Versuche ich nun von einem Computer aus die Benutzeroberflächen der jeweiligen Fritz!Boxen im Browser aufzurufen, geht das nicht.
Stelle ich bei Firewall/Regeln LAN die erlaubte Regel auf Gateway: default um, dann kann ich beide Benutzeroberflächen der Fritz!Boxen erreichen.
Was mache ich falsch? bzw. wo muss ich was einstellen, dass im MultiWAN Betrieb beide Fritz!Boxen erreichbar sind und ich auch deren Netze 192.168.188.XXX und 192.168.189.XXX erreichen kann?
Vielen Dank schon einmal im Voraus.
Grüße
Nico
-
@obelix1981 said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Unter System/Routing/Gatewaygruppen habe ich die Gruppe "MuliWAN" erstellt und beide Internetzugänge mit TIER 1 und den Trigger "Paketverlust oder hohe Latenz" eingestellt.
Beide T1 also Loadbalancing? Ist das sinnvoll bzw. das was du wolltest? LTE hat ja sicher die höhere Download Performance als das 16Mbps DSL?
@obelix1981 said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Unter Firewall/Regeln/LAN ist eine erlaubte Regel: Schnittstelle LAN, Protokoll: alle, Erweiterte Optionen: Gateway "MuliWAN"
Nur diese eine oder ist darüber noch die anti-lockout Regel?
@obelix1981 said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Versuche ich nun von einem Computer aus die Benutzeroberflächen der jeweiligen Fritz!Boxen im Browser aufzurufen, geht das nicht.
Stelle ich bei Firewall/Regeln LAN die erlaubte Regel auf Gateway: default um, dann kann ich beide Benutzeroberflächen der Fritz!Boxen erreichen.Keine Verwunderung hier :)
@obelix1981 said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Was mache ich falsch? bzw. wo muss ich was einstellen, dass im MultiWAN Betrieb beide Fritz!Boxen erreichbar sind und ich auch deren Netze 192.168.188.XXX und 192.168.189.XXX erreichen kann?
Achso das ist das einzige Problem? Das ist leicht:
Schnittstelle LAN, Protokoll: alle, Erweiterte Optionen: Gateway "MuliWAN"
Das ist dein Problem. Gibst du bei einer Regel ein fixes Gateway vor, dann wird dieses für jedes matchende Paket auch genutzt. Da du GW MultiWAN weiter oben als LB GW beschrieben hast, das mal so oder so routen könnte, ist hier keine gezielte Ansprache eines genauen GWs möglich. Was dir dazu also fehlt ist ein GW, das abgehend den Traffic zu den Fritzboxen dort durchlässt, wo er laut Routingtabelle hin muss. Du forcierst aber mit der any-any-Regel, dass die Pakete mal-so-mal-so laufen sollen egal wo sie hin müssten :)
Ergo:
- Lege dir ein Alias an mit den beiden FB Netzen 192.168.188/189.0/24 an (Netz Alias)
- Lege dir eine Regel ÜBER der any-any Rule mit dem LB Gateway an mit Destionation %FB_Netze_Alias und GW Default (*) die vorher greift
Fertig. Damit gehen die Pakete an die Boxen da raus, wo sie laut Routing Table hin müssen, alles andere was nicht matcht (also ab ins Internet geht), wird dann über das LB GW verteilt.
Cheers
-
Hi, erstmal vielen Dank für deine Rückmeldung.
@jegr said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Beide T1 also Loadbalancing? Ist das sinnvoll bzw. das was du wolltest? LTE hat ja sicher die höhere Download Performance als das 16Mbps DSL?
Ja, das ist tatsächlich so gewollt. LTE schwankt zwischen 20 und 75 Mbits... und der Ping schwankt ungemein und ich erhoffe mir, durch das Loadbalancing damit ein bisschen entegegen zu wirken... ob es hinterher wirklich was bringt, sehe ich dann.
@jegr said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Nur diese eine oder ist darüber noch die anti-lockout Regel?
Ups, tatsächlich ist ganz oben eine Anti-Lockout-Regel, soll die da bleiben und aktiviert bleiben?
@jegr said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Lege dir ein Alias an mit den beiden FB Netzen 192.168.188/189.0/24 an (Netz Alias)
Das sieht jetzt so aus:
@jegr said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Lege dir eine Regel ÜBER der any-any Rule mit dem LB Gateway an mit Destionation %FB_Netze_Alias und GW Default (*) die vorher greift
Das sieht jetzt so aus:
Erster Test. Jo, nun sind beide Benutzeroberflächen erreichbar. :)
Speedtest ergibt nun, dass der Ping nun etwas niedriger ist, als vorher... Super vielen Dank.
---Obwohl ich hätte schon gleich die nächsten Fragen und Herausforderungen---- :)
-
@obelix1981 said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Ja, das ist tatsächlich so gewollt. LTE schwankt zwischen 20 und 75 Mbits... und der Ping schwankt ungemein und ich erhoffe mir, durch das Loadbalancing damit ein bisschen entegegen zu wirken... ob es hinterher wirklich was bringt, sehe ich dann.
Ah verstehe, LTE ist dann auch nicht so das Wahre von der Performance. Macht Sinn.
@obelix1981 said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Ups, tatsächlich ist ganz oben eine Anti-Lockout-Regel, soll die da bleiben und aktiviert bleiben?
Jup, wollte nur wissen, ob die auch da ist und ob wir wirklich vom internen "LAN" reden (auch das was pfSense als LAN nutzt/bezeichnet) oder ob das ein anderes IF ist. Wäre dann durchaus wichtig, denn das restliche Thema hätte dann auch deinen Zugriff auf die WebUI ggf. betroffen - wenn da eine GW Gruppe drin ist, schließt du dich ggf. aus der UI aus :)
Erster Test. Jo, nun sind beide Benutzeroberflächen erreichbar. :)
Um "Vin Diesel in Pitch Black" zu zitieren: Sieht OK aus
@obelix1981 said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
---Obwohl ich hätte schon gleich die nächsten Fragen und Herausforderungen---- :)
Na dann, schieß los :D
Nur von MultiWAN Loadbalancing keine Wunder erhoffen, es wird ja nach connection balanced. Das kann auch manchmal nach hinten losgehen. Gerade bei HTTPS Verbindungen zu Webseiten mit Cookies/Sessions, kann das ins Auge gehen, da bei wechselnder externer IP man oft eine andere Session bekommt. Da kann dann mal plötzlich der Warenkorb leer sein o.ä.
Nur im Hinterkopf behalten, dass das dann ggf. der Grund ist. Darum ist WAN Balancing immer so eine Sache. Im ersten Moment angenehm, dann fallen einem die ganzen Nachteile auf und die User meckern.
Aber auch da kann man drumherum arbeiten. -
@jegr said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Ah verstehe, LTE ist dann auch nicht so das Wahre von der Performance. Macht Sinn.
Noch macht es tasächlich Sinn... bedauerlicherweise ist mein Standort vom nächsten Funkmast etwa 1,5 km entfernt und die Fritz!Box LTE ist derzeit auch noch nicht optimal platziert. Wird sich demnächst ändern, dabei erhoffe ich mir, das a) der Speed up/down stabiler wird und b) der ping sich verbessert.
Teste ich dann und berichte dann gern darüber.@jegr said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Um "Vin Diesel in Pitch Black" zu zitieren: Sieht OK aus
Alles klar :)
@jegr said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Nur von MultiWAN Loadbalancing keine Wunder erhoffen, es wird ja nach connection balanced. Das kann auch manchmal nach hinten losgehen. Gerade bei HTTPS Verbindungen zu Webseiten mit Cookies/Sessions, kann das ins Auge gehen, da bei wechselnder externer IP man oft eine andere Session bekommt. Da kann dann mal plötzlich der Warenkorb leer sein o.ä.
Nur im Hinterkopf behalten, dass das dann ggf. der Grund ist. Darum ist WAN Balancing immer so eine Sache. Im ersten Moment angenehm, dann fallen einem die ganzen Nachteile auf und die User meckern.
Aber auch da kann man drumherum arbeiten.Ja, das ist mir bewusst. Deshalb habe ich bereits DSL auf TIER 2 und LTE auf TIER 1 und Trigger auf "Paketverlust" gesetzt oder muss das auf "Element ausser Betrieb"?
Was gerade urlta genial ist, dass ich nun meine Dienste entsprechend auf DSL und LTE aufteilen kann, absolut genial :) :)
@jegr said in MultiWAN mit 2 Fritz!Boxen (Benutzeroberflächen nicht erreichbar):
Na dann, schieß los :D
Die nächsten Fragen bzw. Herausforderungen beziehen sich allerdings nicht auf MultiWAN, daher weiss ich nicht, ob ich die Fragen jetzt einfach stellen kann oder ob ich jedes dafür ein Thread aufmachen muss...
Die Themen dazu sind VPN, SAMBA, FTP und Implementierung von IDRAC (Temperaturen, Lüfterdrehzahl, etc.)
-
Ich bin jetzt einfach mal so frei und schildere die Herausforderung mit VPN IPSec:
Was möchte ich?
Eine entfernte Fritzbox 7360, welche an einem anderen Standort steht mit der pfsense verbinden.
Die FB 7360 hat die IP Adresse 192.168.2.1 und hat eine dyndns Adresse. An dieser Fritzbox hängen diverse Clienten mit jeweils einer IP 192.168.2.XXXWie bekomme ich es nun hin, dass ich auch auf das entfernte Netz zugreifen kann?
Was habe ich bisher versucht? Die Fritzbox bietet die LAN-2-LAN Kopplung an, welche ich bereits gestestet habe. Die Verbindung wird zwar aufgebaut aber ich kann nicht auf die entfernte Fritzbox 7360 zugreifen.
Kann mir jemand sagen, was ich genau einstellen muss?
Vielen Dank im Voraus.
-
@obelix1981
wenn die Verbindung aufgebaut wurde (P1) dann musst Du in der P2
eintragen.
Dann kümmert sich die PFS darum, dass Du dort zugreifen kannst.
Ob die Clients auf der Gegenseite diesen Zugriff zulassen, kann ich Dir natürlich nicht beantworten. Gerade Windows-Rechner antworten erst einmal nicht auf Ping.
-
@jma791187 Vielen Dank, das hat auf anhieb geklappt. Ich weiss nicht warum, aber anscheinend kann die Fritzbox kein DH14, denn das hatte ich bereits probiert, nur die VPN Verbindung ist alle Nase lange abgebrochen.
Kannst du mir zufällig sagen, wie ich der Pfsense beibringe mir im Dashboard die Lüfterdrehzahl des R210II anzuzeigen? Oder geht das generell überhaupt nicht?
-
@obelix1981
nein, da kann ich leider nicht helfen... -
@obelix1981
Hi,
such mal nach "zabbix-agent" im Paketmanager. Ob das aber damit funktioniert, kann ich Dir nicht sagen.
Gruß orcape -
Ne Fritz kann aktuell nur IKEv1 Aggro Mode, P1: AES256 SHA512 DH2 :P2 ESP AES256 SHA512 DH2 und das auch nur über IPv4.
