Probleme mit Loadbalancing



  • Hallo!

    Auch wenn das Thema schon so offt durchgekaut wurde, habe ich trotzdem noch Probleme.
    Ich habe einen normalen Rechner mit 3 Netzwerkkarten mit pfSense 1.0.1 installiert. Ich habe demnach WAN, LAN und OPT1 .
    Als Internet wird eine SDSL-Leitung und eine ADSL-Leitung verwendet. Ich hab vor beiden Leitungen einen Router stehen.

    Internet/SDSL -> Router (lokal-netz 192.168.10.1/24) -> WAN (IP: 192.168.10.2)
    Internet/ADSL -> Router (lokal-netz 192.168.1.1/24) -> OPT1 (IP: 192.168.1.2)
    LAN (Netz: 192.168.2.0/24)

    An dem Router für das ADSL hab ich zudem als DMZ-Rechner die WAN-IP (192.168.1.2) des pfSense eingetragen.
    Ich habe mich strikt an die Anleitung im pfSenseWiKi gehalten.

    Zuerst hab ich einen Pool angelegt für beide Internetverbindungen mit dem jeweiligen IP und dem next hop (gateway vom provider).
    Danach hab ich unter NAT -> Outbound das advanced NAT aktiviert. zu der automatisch vergebenen regel für WAN hab ich noch eine für OPT1 hinzugefügt. Sie ist mit der vom WAN identisch.

    | Interface      | Source | Source Port | Destination | Dest. Port | NAT Address | NAT Port | Static Port
    |
    | WAN | 192.168.2.0/24    | * | * | * | * | * | *
    |
    | OPT1 | 192.168.2.0/24 | * | * | * | * | * | *

    Danach habe ich in Firewall -> Rules zu der standardrule noch eine weiter hinzugefügt. Sie hat als Soure LAN-Net und als Gateway den Pool den ich erstellt hatte.

    | Proto | Source | Port | Destination | Port | Gateway |
    | * | LAN net  | * | * | * | * |
    | * | LAN net | * | * | * | loadbalancetowan |

    Im Grunde sollte das jetzt Funktionieren. Internet geht, solange WAN aktiv ist und Netz hat. Deaktiviere ich das ADSL (simuliere Netzausfall), dann benutz pfSense nicht die andere Leitung. Über SSH  hab ich auf dem pfSense versucht externe Addresse anzupingen. Ohne Erfolg. Das lokale Netz hinter dem OPT1 Netzwerk ist aber erreichbar. Auch der Router der SDSL-leitung kann ich anpingen. Irgendwas muss ich übersehen haben. Ich denke das pfSense diesen Router (der SDSL-Leitung) nicht als Gateway hat (sollte eigentlich in dem pool geregelt sein.

    Ich bitte die weiße Schrift iin den Tabellen zu entschuldigen. Ich hab es nicht geschaft die

    Für Hilfe wäre ich sehr dankbar. |



  • bei den regeln für die firewall solltest du nur die regel mit dem balancingpool haben.

    wenn du mehrere regeln hast,  wird die liste von oben nach unten abgearbeitet.
    wenn eine regel zutrifft wird sie ausgeführt und die restlichen regeln nicht mehr angeschaut.

    in deinem fall werden die daten immer nur über den standard-gateway herausgeschickt (regel1)
    und die zweite regel kommt gar nie zum zug.

    eigentlich solltest du einfach nur die erste regel löschen (oder ändern auf den balancing-pool) und es sollte funktionieren.

    viel glück
    Matthias May



  • Danke !!!

    Manchmal sind die Dinge so einfach. ;-)

    Es funktioniert jetzt.

    Danke



  • Hallo nochmal !

    Ein Problem ist mir noch aufgefallen. Ich kann keine FTP-Verbindungen mehr ins Internet aufbauen. Wieso das so ist, ist mir schleierhaft. Falls mir jemand helfen kann, wäre ich auch sehr an dem technischen Hintergrund interessiert.

    Danke



  • http://forum.pfsense.org/index.php/topic,2282.msg13472.html#msg13472

    (Wenn Du Probleme hast mit dem Englisch laß es mich wissen und ich übersteze es Dir)



  • Danke erstmal für den link.

    So ein wenig english geht schon, aber das dort hab ich nicht ganz geschnallt.
    Für eine Übersetzung wäre ich sehr dankbar. Auch für die die hier mal nachlesen falls andere auch solche Probleme haben.

    Dank dir.



  • Ok, dann erkläre ich mal etwas ausführlicher:

    Das Problem:

    Der FTP Helper (ein Proxy für FTP Verbindungen) läuft lokal auf der pfSense. Alle Verbindungen auf Port 21 werden daher auf 127.0.0.1:21 weitergeleitet. Der Proxy kümmert sich dann darum einerseits notwendige Ports in der Firewall temporär freizuschalten (Port 21 ist nur die Kontrollverbindung, der eigentliche Transfer findet auf höheren Ports statt, die abhängig von der Konfiguration des FTP-Servers sind), und andererseits um das Ersetzen der lokalen IP des Clients mit der öffentlichen IP der pfSense.

    Bei Lastverteilung wird nun dummerweise der Portforward zum FTP Proxy ausser kraft gesetzt und der Verkehr direkt zu den Upstreamgateways geleitet wodurch der FTP Helper nicht mehr funktioniert, keine Ports mehr öffnen kann und noch dazu die Verbindungen über unterschiedliche WANs hergestellt werden, was den FTP-Server zu dem Du Dich verbindest verwirrt (Dein Client kommt mit unterschiedlichen IPs für Port 21 und die hohen Ports).

    Lösung:

    Erstelle eine Firewallregel an erster Stelle unter Firewall>Rules, LAN (und OPT1 usw falls Du weitere interne Netze hast):

    pass, protocol TCP/UDP, source any, destination 127.0.0.1, port 1-65535, gateway default

    Dadurch wird der Verkehr zum FTP Helper aus der Lastverteilung ausgenommen und der Helper erledigt den Rest. FTP-Verbindungen laufen daher übrigens auch immer auf dem eigentlichen WAN Interface und können von der Lastverteilung nicht profitieren.



  • Hallo!

    Ich möchte mich nochmal für die schnelle und kompetente Hilfe bedanken.
    Es hat alles wunderbar funktioniert!



  • Großartig!  ;D


Locked