Routing mit Dual Wan so richtig ?

MBChris

Hallo,

habe hier

1.2-BETA-1
built on Mon Apr 30 10:51:10 EDT 2007

laufen mit Dual WAN. 2 Router machen die Einwahl (192.168.168.1 und 192.168.169.1) dementsprechend sind auch die Interfaces konfiguriert.
Nun habe ich mir mal einen Traceroute nach google.de angeschaut und folgendes versteh ich nicht.

christian@feisty:~$ traceroute -n google.de
traceroute: Warning: google.de has multiple addresses; using 66.249.93.104
traceroute to google.de (66.249.93.104), 30 hops max, 40 byte packets
 1  10.5.6.1  2.639 ms  3.919 ms  2.606 ms
 2  10.5.0.253  3.956 ms  4.886 ms *

 3  192.168.169.1  23.008 ms 192.168.168.1  22.887 ms 192.168.169.1  9.005 ms

 4  217.0.116.210  51.618 ms  55.636 ms  94.985 ms
 5  217.0.77.18  74.667 ms 217.0.77.22  48.222 ms 217.0.77.18  63.656 ms
 6  * 62.154.17.54  59.863 ms  51.936 ms
 7  62.156.139.62  66.003 ms  98.944 ms  64.219 ms
 8  217.147.96.228  64.215 ms  61.967 ms  107.151 ms
 9  217.147.109.150  107.342 ms  59.735 ms  58.263 ms
10  72.14.238.126  78.226 ms  56.710 ms 66.249.94.136  51.607 ms
11  * 209.85.250.140  65.591 ms 209.85.248.182  64.017 ms
12  209.85.248.79  67.755 ms  82.297 ms  64.141 ms
13  72.14.233.77  84.391 ms 72.14.233.79  79.542 ms  62.842 ms
14  66.249.94.46  74.851 ms 216.239.47.25  71.695 ms 66.249.94.46  79.128 ms
15  66.249.93.104  97.095 ms  66.343 ms  63.345 ms
christian@feisty:~$ 

warum werden mir am 3 hop zweierlei IPs angezeigt, also von beiden Gateways nach draussen ? Ist das normal oder sollte es nicht immer nur eins sein ?

Danke für die Info

MBChris

MBChris

Hmm ich glaube ich erlaube mir einmal einen BUMP
Bin mittlerweile bei
1.2-RC2
built on Mon Aug 20 12:41:04 EDT 2007

und der traceroute verhält sich immer noch so

Richtig ?

Gruss
MBChris

JeGr

Nunja mit "dementsprechend sind die Interfaces konfiguriert" ist nicht so wahnsinnig viel ausgesagt ;) Wie ist denn der WAN Pool konfiguriert? Wie die Regeln? Was wird mit den beiden IFs überhaupt gemacht? Sieht mir stark nach LoadBalancing Konfiguration aus, weniger nach Failover. Und wenn dann alles über den Balancer Pool rausgeschickt wird, wäre es weniger verwunderlich, wenn abwechselnd das eine und das andere IF das Paket verschicken. Von wo traced du? Firewall selbst? Maschine dahinter? Wie sind die Regel auf LAN Seite eingestellt?

Grüße
Grey

MBChris

Hallo grey,

danke erstmal für Deine Antwort. Folgendes zu Deiner Information

Ich möchte Loadbalancing UND Failover über beide WANs (WAN, OPT1) machen, 2x3000er DSL.

Für die WAN-Verbindungen lasse ich jeweils einen Linksys-router (WRT54G) einwählen wobei bei diesen dann jeweils als DMZ-Host die entsprechende WAN-IP der PFsense eingetragen ist.

pfsense WAN  –-> 192.168.168.1 ---> DSL1
pfsense OPT1 ---> 192.168.169.1 ---> DSL2

Mein Pool und die Rules sehen so aus
wie angehängt

Achja, ich trace von einer Maschine aus dem LAN also dahinter. Wenn ich das jetzt so schreibe fällt mir etwas auf. Ich bekomme ja für jeden Hop 3x die Antwortszeit und wenn das heisst dass 3x "gepingt" wird, dann hat sich meine Frage schon selbst beantwortet. Da geht dann ja wohl das zweite oder dritte Paket (bei Loadbalancing) dann über das andere WAN-If raus, das merkt die traceroute applikation und schreibt mir das "geänderte" gateway hin ..... könnte das die Antwort sein ?

Danke für die Info
Gruß MBChris

JeGr

Sieht sehr plausibel aus so. Und bezüglich des Pings bin ich gleicher Ansicht. Das sind wohl 3 autarke Pings, die über den Pool gebalanced werden. Das war auch meine ursprüngliche Idee, die du mit dem Setup (Loadbalancing) belegt hast. Lässt sich leicht testen, indem du bspw. den Failover erzwingst (einfach mal Kabel an OPT1 oder so raus) und der Ping dürfte nur noch in eine Richtung gehen.

MBChris

@Grey:

… (einfach mal Kabel an OPT1 oder so raus) und der Ping dürfte nur noch in eine Richtung gehen.

Jo, ist genau so. Dann bin ich erstmal beruhigt keinen Fehler gemacht zu haben.
Hmmmm wenn ich Dich schon gerade dran habe …. vielleicht noch ne Frage bzw. Verständnisfrage hinterher (hab ich allerdings schon im englischen forum gepostet)

Da ich hinter der pfsense an den beiden WANs jeweils einen Router zum einwählen habe ergibt sich da ja zwangsweise ein "Double natting" 1x  NAT bei pfsense und 1x NAT bei dem jeweiligen router. Das möchte ich aber vermeiden da das wohl bei manchen Dingen Probleme macht (ICQ, Yahoo usw.)

Ich kann die router nicht bridgen also bleiben die auf dem NAT. Kann ich bei der pfsense das natting ausschalten ? Dann muss ich aber bei den Routern wohl auch die Subnetze im LAN der pfsense als Rückrouten eintragen oder ?

Danke für die Antwort
Gruß
MBChris

JeGr

Instant Messenger sind so oder so immer gerne ein Problem. Ob nun eine oder zwei NATs - das macht nicht so viel aus. In den Konstellationen wo ich das bisher konfiguriert hatte, waren vornedran geschaltet zwei relativ einfache Netgear Router. Die haben eine Option, einen "DMZ Host" zu definieren (BTW die schlimmste Namensvergabe die ich jemals gesehen habe, weil das so ziemlich das blanke Gegenteil einer DMZ darstellt). Jedenfalls wird mittels dieser Option quasi ein voll-transparentes Portforwarding gemacht (alle Ports von 1-65535 werden 1:1 weitergegeben an das jeweilige pfSense Interface). Ich würde es eher so versuchen, als mit der Brechstange zu versuchen, die 2. NAT rauszunehmen, denn ich denke da kommt es eher zu Problemen als dass es viele löst ;)
Mit der "Pseudo-DMZ" Option haben wir dort beim Kunden auf jeden Fall so ziemlich alle Wünsche erschlagen können.

MBChris

Hallo grey,

danke für die Antwort, genau das habe ich schon getan, auf beiden Routern die einwählen ist jeweils das entsprechende pfsense WAN-Interface als DMZ-Host (  ;D ) , besser exposed Host, angegeben.

Da werd ich dann wohl nichts machen können, ich denke der Aufwand ist zu hoch, auch wenn es nur ein paar routen sind …. Ich denke sowieso daran die pfsense an diesem Ort gegen einen Lancom 1811 auszutauschen, der macht dann alles in einem. Ich hoffe der balanced auch richtig ...

Gruß
MBChris