Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    MultiWAN Port-Zuweisung

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 3 Posters 2.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bjoern
      last edited by

      Hallo zusammen,

      ich habe hier eine pfSense-Firewall 2.0 mit zwei Internetzugängen eingerichtet. Einmal DSL über die Telekom und einmal Sat-DSL von Toowaysat. Dafür habe ich mir Gateway-Groups eingerichtet und das Ganze mehrfach konfiguriert, also einmal als Balancer und zweimal als Failover-Lösung.

      Jetzt stehe ich vor dem Problem, dass ich auf eine externe MySQL-Datenbank zugreifen muss, die aber nur Zugriffe von unserer statischen Telekom-IP zulässt. Da Sat-DSL bei uns viel schneller ist, habe ich es als Standard-Gateway konfiguriert. Ist es irgendwie möglich alles was auf Port 3306 (MySQL) nach draussen geht automatisch über die Telekom-Leitung zu verschicken?

      Ich kenne mich mit der Materie leider überhaupt nicht aus und bin froh, dass ich es soweit überhaupt geschafft habe. Wäre nett wenn mir jemand weiterhelfen könnte :-)

      Vielen Dank im voraus!

      Grüße
      Björn

      1 Reply Last reply Reply Quote 0
      • F
        flix87
        last edited by

        das geht einfach eine Regle einrichten bei der alles was den zielport 3306 (bzw kannst auch hier die ip adresse des Server und den Port eingeben und es noch weiter einzugrenzen) und dann unten einfach unter gateways das gewünsche Gateway der Telekom eintragen
        wichtig ist aber das die Regel über der alow any any regel steht weil die Firewall von oben nach unten arbeitet

        1 Reply Last reply Reply Quote 0
        • B
          bjoern
          last edited by

          Danke für die schnelle Rückmeldung :-)

          Ich bin jetzt unter Firewall -> Rules. Dort habe ich ja die Reiter "Floating", jeweils einen für meine 3 Gateways (LAN, Telekom, Sat) und für mein OpenVPN.

          Leider verstehe ich nicht genau, wo ich da jetzt was machen muss.
          Ich habe versucht unter dem Reiter Sat eine Regel hinzuzufügen:

          Action: Pass
          Interface: Sat
          Protocol: TCP/UDP
          Source: LAN Address
          Source Port Range: 3306-3306
          Destination: Single Host Or Alias
          Address: URL unseres MySQL-Servers
          Destination Port Range: 3306-3306

          Advances Features:
          Gateway: Telekom

          Das funktioniert auf jeden Fall noch nicht.

          Edit:

          Habe das Ganze auch nochmal unter LAN ausprobiert, da ich gesehen habe, das nur da diese Allow any Regel ist und es davor eingefügt (alte Regel wurde vorher unter Sat gelöscht). Zusätzlich habe ich auch noch Source- und Destination-Type auf any ausprobiert, aber leider auch ohne Erfolg.

          1 Reply Last reply Reply Quote 0
          • F
            flix87
            last edited by

            @bjoern:

            Source: LAN Address

            das wäre die adresse die deine PfSense im lan hat somit würdest du nur diese über das gateway rausschicken
            hier müsste die ip hin des Servers der auf den Mysql Server zugreifen will bzw wenn es alle sollen dann LAN Subnet

            1 Reply Last reply Reply Quote 0
            • N
              Nachtfalke
              last edited by

              Hallo Bjoern,

              erstelle auf dem Interface, von dem die Verbindung zur MySQL Datenbank hergestellt werden soll, folgende Regel. Ich nutze mal das Interface LAN:

              Action: Pass
              Interface: LAN
              Protocol: TCP/UDP
              Source: LAN Address oder any
              Source Port Range: any
              Destination: IP des externen MySQL Servers
              Destination Port: 3306
              Gateway: Telekom Gateway

              Diese Regel platzierst du vor, als über allen anderen Regeln.
              Die regeln in der Firewall der pfsense werden von oben nach unten abgearbeitet. Die erste Regel, duie zutriff, wird genutzt, alle weiteren werden ignoriert. Deswegen die Positionierung ganz oben.

              Thema Failover/LoadBalancing:
              Gateways, die sich in einer Gruppe befinden uznd den gleichen "Tier" haben, machen automatisch Failover. Fällt einer der Gatways in dieser Gruppe aus, findet automatisch ein failover statt. Kommt der gateway wieder hoch, schaltet pfsense automatisch wieder auf LoadBalancing um.

              Erstellst du eine Gruppe mit Gateways wo der z.B. GW1 Tier1 hat und GW2 Tier2 bedeutet das, es wird zuerst GW1 benutzt, fällt dieser GW1 aus, wird auf den nächst höheren Tier geswitcht. Kommt GW1 wieder hoch, switcht pfsense wieder zurück auf GW1.

              Wenn du unterschiedlich schnelle Leitungen hast, diese aber in LoadBalancing schalten möchtest, dann empfiehlt es sich, die Bandbreite für die Lastverteilung anzupassen.
              Das Geht unter SYSTEM -> ROUTING -> Gateways. Editiere einen gateway und lege die "Weight" fest.

              Beispiel mit 2 Leitungen.
              GW1: 100MBit       Weight: 2
              GW2: 50MBit         Weight: 1
              Das LoadBalancing der pfsense findet im Round Robin Verfahren statt, das bedeutet, 2 connections gehen über GW1, dann eine über GW2, dann wieder 2 über GW1, …
              Somit wird GW1 doppelt so start "belastet" als GW2 weil er ja auch die doppelte Bandbreite hat.

              Grüße und viel Erfolg

              1 Reply Last reply Reply Quote 0
              • B
                bjoern
                last edited by

                Vielen, vielen Dank für die schnele und vor allem kompetente Hilfe :)

                Jetzt klappt alles so wie es soll.

                @Nachtfalke: An dichnochmal speziellen Dank für deine ausführlichen Anweisungen und den Hinweisen zum Failover. Habe ich natürlich gleich umgesetzt ;)

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.