Routing mit Dual Wan so richtig ?
-
Hallo,
habe hier
1.2-BETA-1
built on Mon Apr 30 10:51:10 EDT 2007laufen mit Dual WAN. 2 Router machen die Einwahl (192.168.168.1 und 192.168.169.1) dementsprechend sind auch die Interfaces konfiguriert.
Nun habe ich mir mal einen Traceroute nach google.de angeschaut und folgendes versteh ich nicht.christian@feisty:~$ traceroute -n google.de traceroute: Warning: google.de has multiple addresses; using 66.249.93.104 traceroute to google.de (66.249.93.104), 30 hops max, 40 byte packets 1 10.5.6.1 2.639 ms 3.919 ms 2.606 ms 2 10.5.0.253 3.956 ms 4.886 ms * 3 192.168.169.1 23.008 ms 192.168.168.1 22.887 ms 192.168.169.1 9.005 ms 4 217.0.116.210 51.618 ms 55.636 ms 94.985 ms 5 217.0.77.18 74.667 ms 217.0.77.22 48.222 ms 217.0.77.18 63.656 ms 6 * 62.154.17.54 59.863 ms 51.936 ms 7 62.156.139.62 66.003 ms 98.944 ms 64.219 ms 8 217.147.96.228 64.215 ms 61.967 ms 107.151 ms 9 217.147.109.150 107.342 ms 59.735 ms 58.263 ms 10 72.14.238.126 78.226 ms 56.710 ms 66.249.94.136 51.607 ms 11 * 209.85.250.140 65.591 ms 209.85.248.182 64.017 ms 12 209.85.248.79 67.755 ms 82.297 ms 64.141 ms 13 72.14.233.77 84.391 ms 72.14.233.79 79.542 ms 62.842 ms 14 66.249.94.46 74.851 ms 216.239.47.25 71.695 ms 66.249.94.46 79.128 ms 15 66.249.93.104 97.095 ms 66.343 ms 63.345 ms christian@feisty:~$warum werden mir am 3 hop zweierlei IPs angezeigt, also von beiden Gateways nach draussen ? Ist das normal oder sollte es nicht immer nur eins sein ?
Danke für die Info
MBChris
-
Hmm ich glaube ich erlaube mir einmal einen BUMP
Bin mittlerweile bei
1.2-RC2
built on Mon Aug 20 12:41:04 EDT 2007und der traceroute verhält sich immer noch so
Richtig ?
Gruss
MBChris -
Nunja mit "dementsprechend sind die Interfaces konfiguriert" ist nicht so wahnsinnig viel ausgesagt ;) Wie ist denn der WAN Pool konfiguriert? Wie die Regeln? Was wird mit den beiden IFs überhaupt gemacht? Sieht mir stark nach LoadBalancing Konfiguration aus, weniger nach Failover. Und wenn dann alles über den Balancer Pool rausgeschickt wird, wäre es weniger verwunderlich, wenn abwechselnd das eine und das andere IF das Paket verschicken. Von wo traced du? Firewall selbst? Maschine dahinter? Wie sind die Regel auf LAN Seite eingestellt?
Grüße
Grey -
Hallo grey,
danke erstmal für Deine Antwort. Folgendes zu Deiner Information
Ich möchte Loadbalancing UND Failover über beide WANs (WAN, OPT1) machen, 2x3000er DSL.
Für die WAN-Verbindungen lasse ich jeweils einen Linksys-router (WRT54G) einwählen wobei bei diesen dann jeweils als DMZ-Host die entsprechende WAN-IP der PFsense eingetragen ist.
pfsense WAN –-> 192.168.168.1 ---> DSL1
pfsense OPT1 ---> 192.168.169.1 ---> DSL2Mein Pool und die Rules sehen so aus
wie angehängtAchja, ich trace von einer Maschine aus dem LAN also dahinter. Wenn ich das jetzt so schreibe fällt mir etwas auf. Ich bekomme ja für jeden Hop 3x die Antwortszeit und wenn das heisst dass 3x "gepingt" wird, dann hat sich meine Frage schon selbst beantwortet. Da geht dann ja wohl das zweite oder dritte Paket (bei Loadbalancing) dann über das andere WAN-If raus, das merkt die traceroute applikation und schreibt mir das "geänderte" gateway hin ..... könnte das die Antwort sein ?
Danke für die Info
Gruß MBChris
-
Sieht sehr plausibel aus so. Und bezüglich des Pings bin ich gleicher Ansicht. Das sind wohl 3 autarke Pings, die über den Pool gebalanced werden. Das war auch meine ursprüngliche Idee, die du mit dem Setup (Loadbalancing) belegt hast. Lässt sich leicht testen, indem du bspw. den Failover erzwingst (einfach mal Kabel an OPT1 oder so raus) und der Ping dürfte nur noch in eine Richtung gehen.
-
… (einfach mal Kabel an OPT1 oder so raus) und der Ping dürfte nur noch in eine Richtung gehen.
Jo, ist genau so. Dann bin ich erstmal beruhigt keinen Fehler gemacht zu haben.
Hmmmm wenn ich Dich schon gerade dran habe …. vielleicht noch ne Frage bzw. Verständnisfrage hinterher (hab ich allerdings schon im englischen forum gepostet)Da ich hinter der pfsense an den beiden WANs jeweils einen Router zum einwählen habe ergibt sich da ja zwangsweise ein "Double natting" 1x NAT bei pfsense und 1x NAT bei dem jeweiligen router. Das möchte ich aber vermeiden da das wohl bei manchen Dingen Probleme macht (ICQ, Yahoo usw.)
Ich kann die router nicht bridgen also bleiben die auf dem NAT. Kann ich bei der pfsense das natting ausschalten ? Dann muss ich aber bei den Routern wohl auch die Subnetze im LAN der pfsense als Rückrouten eintragen oder ?
Danke für die Antwort
Gruß
MBChris -
Instant Messenger sind so oder so immer gerne ein Problem. Ob nun eine oder zwei NATs - das macht nicht so viel aus. In den Konstellationen wo ich das bisher konfiguriert hatte, waren vornedran geschaltet zwei relativ einfache Netgear Router. Die haben eine Option, einen "DMZ Host" zu definieren (BTW die schlimmste Namensvergabe die ich jemals gesehen habe, weil das so ziemlich das blanke Gegenteil einer DMZ darstellt). Jedenfalls wird mittels dieser Option quasi ein voll-transparentes Portforwarding gemacht (alle Ports von 1-65535 werden 1:1 weitergegeben an das jeweilige pfSense Interface). Ich würde es eher so versuchen, als mit der Brechstange zu versuchen, die 2. NAT rauszunehmen, denn ich denke da kommt es eher zu Problemen als dass es viele löst ;)
Mit der "Pseudo-DMZ" Option haben wir dort beim Kunden auf jeden Fall so ziemlich alle Wünsche erschlagen können. -
Hallo grey,
danke für die Antwort, genau das habe ich schon getan, auf beiden Routern die einwählen ist jeweils das entsprechende pfsense WAN-Interface als DMZ-Host ( ;D ) , besser exposed Host, angegeben.
Da werd ich dann wohl nichts machen können, ich denke der Aufwand ist zu hoch, auch wenn es nur ein paar routen sind …. Ich denke sowieso daran die pfsense an diesem Ort gegen einen Lancom 1811 auszutauschen, der macht dann alles in einem. Ich hoffe der balanced auch richtig ...
Gruß
MBChris
