Probleme mit Netzzugang - 2 x UnityMedia
-
Hallo,
wir nutzen die aktuelle pfSense (1.2.3-RELEASE) mit zwei Verbindungen zum Internet bei einem Kabelprovider (UnityMedia). Einmal wurde das vorgesehene WAN Interface mit DHCP genutzt, zusätzlich haben wir ein weiteres Interface mit DHCP konfiguriert. Bestimmte Verbindungen werden gezielt über die Auswahl des Gateways über WAN2 geschickt.
Sieht schamatisch dann so aus:
: : : CableProvider : : : .---+---. .---+---. WAN | Cable | Modems | Cable | WAN2 '---+---' (Motorola - '---+---' | mit transparent DHCP) | Ethernet | | Ethernet 95.222.0.0/15 | WAN .---------. WAN2 | 95.222.0.0/15 +------| pfSense |-------+ via DHCP 95.222.249.x '----+----' via DHCP 95.222.249.x GW 95.222.248.1 | GW 95.222.248.1 ISP DNS servers | (DNS via WAN) 80.69.100.198 | 80.69.100.206 LAN (...)Es hat sich folgendes Problem ergeben:
Unregelmäßig schwenkt die pfSense alle abgehenden Verbindungen vom "default" WAN
Interface (WAN) auf das WAN2 Interface. Abgehend erkennt man dies deutlich an der
veränderten WAN IP beim Empfänger - leider ist aber auch das WAN Interface von
extern nicht mehr erreichbar zu ssh oder OpenVPN. Erstaunlich bleibt auch, dass alle
laufenden VPN Verbindungen nicht betroffen sind –- ???Woran könnte sowas liegen ?
Mag die pfSense zwei gleiche WAN-Netze nicht ?Eigentlich würde dieses Verhalten für eine "fail-over" Konfiguration sprechen - liegt aber nicht vor.
Grüße FBI01
-
Das funktioniert (bis auf das beschriebene problem) so?
Wenn ja, bin ich äusserst erstaunt.
Hast du vielleicht auf den beiden WANs unterschiedliche Gateways?Rein von der Art her wie die Routing-table funktioniert, kann es gar nicht gehen zwei mal das selbe subnet mit dem selben Gateway zu haben ;)
-
Das funktioniert (bis auf das beschriebene problem) so?
Wenn ja, bin ich äusserst erstaunt.
Hast du vielleicht auf den beiden WANs unterschiedliche Gateways?Ja, das läuft (bis auf die geschilderten Probleme) tadellos.
Ich sehe da eigentlich keine Probleme, denn das default-gateway ist ja immer "nur" WAN und jedes weitere Interface gehört zu einem beliebigen Netzwerk.
Wenn "WAN2" zum selben Netzwerk gehört wie WAN ABER einen andere IP hat, dann sollte das ohne Probleme laufen.In den Regeln wird der Weg (gateway) über WAN2 ja gezielt ausgewählt und nur bestimmte Pakete gehen über WAN2 raus.
Meine Vermutung, dass es hier ggf. ein grundsätzliches Problem mit der pfSense gibt, wurde kürzlich durch ein weiteres Problem relativiert. Wenn ich WAN2
(jetzt als VLAN Interface) über LAN an einen lokalen Switch per VLAN-Tag schicke und an ein untagged Interface das WAN2 Modem anschliesse (also ohne Tagging),
dann bekommt die pfSense keine IP per DHCP zugewiesen. Das Motorola Modem verweigert die Vergabe.Kann es sein, dass die Motorola-Modems von Untity Media die Mac des Interfces der pfSense clonen und dann transparent die Daten durchschicken? Dann würde ein Switch natürlich diesen Vorgang verhindern … andernfalls müsste eine DHCP Server auf dem Motorola-Modem laufen und das ist für die öffentlichen IP Adressen ja nicht der Fall,
denn es gibt kein Transfernetz o.ä. ...Rein von der Art her wie die Routing-table funktioniert, kann es gar nicht gehen zwei mal das selbe subnet mit dem selben Gateway zu haben ;)
Warum und wie genau sieht denn dieser Routing Table aus bei einem WAN und einem zusätzlichen WAN2, das auf ein beliebiges Interface vergeben wurde.
Es bleibt jedoch die Frage offen, warum ab und zu das WAN Interface nicht mehr "default-gateway" ist ?!?
Grüße FBI01
