PfSense (dual WAN) vor eine bereits vorhandene Firewall schalten?



  • Hallo zusammen,

    ich habe foldene Frage bzw. Problem…
    Bei uns im Netzwerk existiert bereits eine EndianFirewall, welche die Internetverbindung verwaltet, das Routing übernimmt und als transp. Proxy-Server dient.
    Da wir nun aber 2 DSL Leitungen zur Verfügung haben und die EFW kein multi-wan bzw. load balancing von mehreren Internet-Leitungen verarbeiten kann, haben wir uns zusätzlich für pfSense entschieden, um ein Load-balancing mit den beiden DSL-Leitungen (dual WAN) durchführen zu können.
    Meine Frage ist nun, ist es möglich, den pfSense-Server (auf dem 2 NICs via. PPOE die Verbindung mit der jeweiligen DSL-Leitung aufnehmen sollen) mit der 3. NIC über Ethernet mit der EndianFirewall zu verbinden und dann auf der EndianFW sagen zu können, dass nun das "rote-Netz" (Internet) nicht mehr via. PPOE aufgebaut werden soll, sondern die LAN-Verbindung zum pfSense-Server (an dem die 2x WAN-Leitungen verbunden sind) genutzt werden soll.

    Hier noch eine schnelle Skizze, damit man sich das Ganze eventuell besser vorstellen kann:

    Wenn jemand einen Hinweis hierzu hat, würde ich mich sehr freuen!

    Viele Grüße.



  • Ja, das funktioniert so, wie du es geschrieben hast.

    NAT an der Endian Firewall kannst/solltest du dann deaktivieren und nur noch von der pfsense übernehmen lassen. Schaltest du NAT aus, musst du natürlich an der pfsense eine statische Route zu den Netzen hinter der Endian Firewall einrichten.

    Vielleicht solltest du/ihr überlegen, ob ihr perspektivisch die Funktionen der Endian Firewall auf die pfsense übertragt, dann spar ihr euch eine Firewall ein und somit "doppelte" Konfigurationen.

    Kurz und knapp:
    Das was du/ihr machen möchtet geht :o)



  • Hallo Nachtfalke,

    danke für die Antwort.
    Wenn es nach mir ginge, würde ich die EndianFW auch komplett durch pfSense ersetzten, aber wie das immer so ist… lässt sich das nicht so schnell durchsetzen... (weil Wirkbetrieb & "never change a running system" etc.)

    Ich habe dies natürlich direkt getestet und auf dem pfSense-Server die beiden WAN-Verbindungen nach diesem How-To konfiguriert: http://skear.hubpages.com/hub/Dual-Wan-Router-How-To-Build-One-On-a-Budget
    (eine "öffentliche WAN-IP" wurde auch erfolgreich unter den beiden WAN-Schnittstellen im Menü angezeigt)
    Anschließend habe ich noch auf der EndianFirewall eingestellt, dass die Internet-Verbindung (rot) nicht mehr via. ppoe verbunden werden soll, sondern über "Ethernet statisch". Dann habe ich unter "ethernet statisch" die IP des pfSense-Servers eingetragen, dass ging aber zunächst nicht, weil es angeblich mit dem "grünen-"10ner"-Netz der EndianFirewall kollidiert"... Daraufhin habe ich die LAN-Netzwerkkarte / Schnittstelle auf pfSense auf ein 192er-Class-C-Netz konfiguriert und diese IP der EndianFirewall via. "Ethernet statisch" als rotes Netz zugewiesen.
    Leider erfolglos... Keine Internetverbindung / Traffic auf der EndianFirewall möglich.
    Weiß jemand, was ich da falsch mache?!



  • Hallo,

    an der pfsense sollte folgendes eingestellt sein:

    WAN1 und WAN2, also 2 Interfaces für die PPPoE verbindung entsprechend konfigurieren. Die LAN Schnittstelle ebenfalls konfigurieren, bei Bedarf einen DHCP Server darauf aktivieren.
    Weiterhin solltest du an der Firewall auf der LAN Schnittstelle eine Regel erstellen, die JEGLICHEN Verkehr zulässt, also any to any.
    Dann solltest du an der pfsense unter SYSTEM-GENERAL SETUP die DNS Server eintragen. Jede WAN Schnittstelle sollte einen DNS Server haben, am Besten verschiedene. Gute DNS Server sind z.B. 8.8.8.8 und 8.8.4.4

    Anschließend gehst du am besten unter Diagnostics und sendest Pings über beide WAN Schnittstellen an www.google.de oder 8.8.8.8/8.8.4.4 um zu testen, ob das Routing klappt bzw. die DNS Auflösung. Wenn das nicht geht, ist die pfsense schonmal nicht korrekt installiert. Wenns geht, ist es gut. Dann hängst du am sinnvollsten einen Laptop an die LAN Schnittstelle und testest dort, ob der Client ebenfalls ins Internet kommt. Wenn das klappt, ist es schonmal gut und wir kümmern uns ums LoadBalancing. Wenns nicht klappt, ist etwas an der pfsense faul.

    LoadBalancing:
    SYSTEM -> GATEWAY -> GROUPS
    Dort fügst du beide WAN Schnittstellen mit jeweils TIER 1 hinzu.
    Das bedeutet, WAN1 und WAN2 sind gleichberechtigt, machen Lastverteilung und beim Ausfall einer Leitung übernimmt die jeweils Andere.
    Diese nun erstellte Gateway Gruppe musst du nun unter FIREWALL -> RULES -> LAN als "Gateway" eintragen.
    Danach sollte LoadBalancing klappen und wenn du mehrfach hintereinander
    www.pfsense.org/ip.php
    oder
    www.wieistmeineip.de
    aufrufst, sollten die IP Adresse wechseln.

    WICHTIG: Nicht jedes Protokoll (z.B. https) kann LoadBalancing, deswegen gehst du noch unter:
    SYSTEM -> ADVANCED -> Misc und stellst dort: "Sticky Connections" an.
    Undabhängig vom Protokoll gehört beim Load Balancing auch folgende Option eingeschaltet:
    SYSTEM -> ADVANCED -> Misc und stellst dort: "Gateway Switching"

    Viel Erfolg


Log in to reply