Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Load Balancing mit 2.0.1

    Deutsch
    4
    13
    5.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      lindi200000
      last edited by

      Hallo,
      ich wollte bei meinen Pfsense einen Loadbalancer und Failover einrichten.
      Wenn ich aber nach einer Anleitung suche, finde ich nur das ganze für die Pfsense 1.2.3 .
      In der neueren Version hat sich ja bissel was geändert.
      Wie richte ich das denn jetzt ein?
      Wenn ich z.b. auf Services->Loadbalancer gehe und da einen neuen Pool eröffne, dann kann ich keine Interfaces auswählen und auch nicht sagen das es ein Gateway ist.

      Hoffe ihr könnt mir helfen oder mir eine Anleitung für die Aktuelle Pfsense Version geben.

      Gruß Lindi

      1 Reply Last reply Reply Quote 0
      • F
        flix87
        last edited by

        bei der 2.0.1 wird das unter Routing -> Groups gemacht hier kannst du die Gateways zusammenfassen.
        Also balance oder failover und musst dann noch dem entsprechen Regeln in der Firwall hinterlegen wo du dann sagst welche Regel über welches Gateway bzw Gatewaygruppe rausgeht

        1 Reply Last reply Reply Quote 0
        • L
          lindi200000
          last edited by

          Ach da geht das.
          Ich habe jetzt eine Gruppe erstellt mit folgenden Sachen:

          Group Name: WAN1BalanceWAN2
Gateway Priority: beide auf Tier1
Trigger Level: Packet Loss or High Latancy

          Dann habe ich unter Firewall-> Rules -> LAN
          Regeln erstellt für z.b: das VPN nur über einen bestimmten GW raus geht und habe dann bei der Default Rule für LAN den Gateway "WAN1BalanceWAN2" eingetragen.

          Ich hoffe das ist richtig so oder?
          Ist das jetzt gleichzeitig ein Failover? Weil wenn nicht, dann müsste ich ja nochmal 2 Gruppen erstellen, nur wie gebe ich dann die Gateways in der Firewall an?

          Gruß Lindi

          1 Reply Last reply Reply Quote 0
          • F
            flix87
            last edited by

            ist auch ein failover wenn er den einen nicht belegen kann macht er das auch nicht
            sieht man ja unter Status -> Gateways wenn da eins offline ist wird er es nicht belegen

            überprüfen kann man das mit http://www.wieistmeineip.de/ da müssten ja dann immer zwei im wechsel auftauchen.

            man sollte aber ausnahmen definieren für https z.B. weil es da passieren kann das wenn man die ip wechselt das die session abgeschossen wird (onlinebanking z.B.)
            da sollte man noch eine gruppe anlegen die nur failover macht.

            1 Reply Last reply Reply Quote 0
            • N
              Nachtfalke
              last edited by

              Hallo,

              Alle Gateways mit dem gleichen "Tier" betreiben LoadBalancing. Fällt ein Gateway aus dieser Gruppe weg, arbeiten die letzten verbleibenden in dieser Gruppe weiter. Somit ist es im Idealfall LoadBalancing wenn beide Gateways funktionieren, fällt ein gateway aus entspricht dies automatisch einem Failover. Es ist also nicht mehr notwendifg wie bei pfsense 1.2.3 mehrere Gruppen zu definieren.

              Wie flix87 aber richtig gesagt hat, gibt es Protokolle/Anwendungen (https, IPsec), die LoadBalancing nicht so mögen.
              Entweder du schaltest jetzt "Sticky Connections" ein um das zu beheben oder aber du erstellst einen alias, in welchem du alle Ports zusammenfasst, die kein LoadBalancing können (443 (hhtps), 4500 (IPsec), 500 (IPsec))
              Dann erstellst du ebenfalls eine GatewayGruppe aber mit WAN1 Tier1 und WAN2 Tier2. Und wählst diese Gruppe dann als Gateway für die Firewallregel mit dem definierten Ports.
              Somit hast du ein Failover für diese Ports, sollte dein WAN1 down gehen. Diese regel muss aber über der Regel mit deinem WAN1balanceWAN2 stehen :-)

              1 Reply Last reply Reply Quote 0
              • L
                lindi200000
                last edited by

                Wo schalte ich denn "Sticky Connections" ein?

                1 Reply Last reply Reply Quote 0
                • N
                  Nachtfalke
                  last edited by

                  system -> advanced -> xyz
                  weiss nicht ganz genau wo dort ;)

                  1 Reply Last reply Reply Quote 0
                  • L
                    lindi200000
                    last edited by

                    Habs gefunden und auch eingestellt.
                    Scheint für die HTTP Verbindungen relativ gut zu klappen, aber auf manchen Seiten wo man sich einloggen muss gibs Probleme.
                    Wenn ich da mich einlogge und paar klicks auf der Seite mache, dann werde ich wieder ausgeloggt. Ohne Loadbalancing geht das aber wunderbar.
                    Die Seite liegt bei all-inkl . Kann es sein das da eine Art Balancer bei denen davor geschallten ist und somit pfsense denkt es ist eine neue Verbindung?

                    1 Reply Last reply Reply Quote 0
                    • N
                      Nachtfalke
                      last edited by

                      Vermutlich nicht. Sticky connections habe einen timer der abläuft, wenn keine Daten mehr kommen.
                      Manchmal switcht eine Seite auch zwischen http und https. Dann gibt es Probleme.

                      Ich persönlich nutze Sticky Connections nicht, ich löse das Problem anders:

                      Ich erstelle eine Gateway Gruppe (LoadBalance) mit Tier1 und
                      ich erstelle eine Gateway Gruppe (NoLoadBalance) mit Tier 1 und Tier 2

                      Dann erstelle ich einen Port-Alias. In diesen Alias packe ich alle Ports, die probleme mit LoadBalancing haben, also 443, 500, 4500, 1194, etc. pp.

                      Dann erstelle ich eine Firewall Regel deren Destination Port meinen Alias beinhaltet und als Gateway meine "NoLoadBalance" Gruppe.
                      Sämtlichen anderen Verkehr leite ich über die "LoadBalance" Gruppe.

                      Kommen neue Anwendungen hinzu die bestimmte Ports haben, dann muss ich diese lediglich zum Alias hinzufügen.

                      Wenn du es nicht alleine mit den Ports Regeln kannst, dann kannst du evtl. noch einen Alias mit Ziel-IPs anlegen und eine dritte Firewallregel erstellen, ähnlich wie die oben beschriebene Regel.

                      Bei freenet.de ist mir zum Beispiel aufgefallen, dass man sich dort über die internetseite schlecht am E-Mail Postfach anmelden kann (http). Man kann dort aber wählen, dass die Anmeldung über https erfolgen soll. Dann greift meine oben beschriebene Regel und alles wird gut. Man muss also immer mal schauen, an welcher schraube man drehen muss :)

                      1 Reply Last reply Reply Quote 0
                      • L
                        lindi200000
                        last edited by

                        kann man diesen Timer irgendwie setzen?
                        Es sind halt viele Seiten die da Probleme machen.
                        Hauptsächlich welche mit Login und ohne https.

                        Foren z.b.

                        1 Reply Last reply Reply Quote 0
                        • N
                          Nachtfalke
                          last edited by

                          http://forum.pfsense.org/index.php/topic,49054.msg260494.html#msg260494
                          diesen und den darauf folgenden post lesen und durchführen.

                          1 Reply Last reply Reply Quote 0
                          • B
                            Bernd812
                            last edited by

                            Wie erstelle ich eine Firewallregel mit Aliases und trage es unter "Destination" ein?
                            Wenn ich bei pfSense 2.0.1 unter Destination "single host or alias" auswähle und in "Adress" die Bezeichnung eintrage, die ich in "Aliases" erstellt habe, dann kommt nach dem abspeichern die Meldung:
                            "The following input errors were detected: (Aliases Bezeichnung) is not a valid destination IP adress or alias."

                            1 Reply Last reply Reply Quote 0
                            • N
                              Nachtfalke
                              last edited by

                              @Bernd812:

                              Wie erstelle ich eine Firewallregel mit Aliases und trage es unter "Destination" ein?
                              Wenn ich bei pfSense 2.0.1 unter Destination "single host or alias" auswähle und in "Adress" die Bezeichnung eintrage, die ich in "Aliases" erstellt habe, dann kommt nach dem abspeichern die Meldung:
                              "The following input errors were detected: (Aliases Bezeichnung) is not a valid destination IP adress or alias."

                              Der Alias muss auch den korrekten Wert haben.
                              Wenn du als Alias also einen Port Alias erstellst, mir poprts, dann kannst du diesen natürlich nicht in der firewall Regel als "Destination IP" eintragen, sondern nur bei Quell- oder Ziel-ports

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.