Dual WAN mit VDSL Business geht nicht…
-
Hallo zusammen,
Wenn es schon eine Antwort auf meine Frage gibt und ich hier doof die gleiche Frage erneut stelle… Bitte nicht böse sein.
Ich habe von der Telekom zwei VDSL Business Anschlüsse (zwei Anagenanschlüsse). Ich würde nun gerne die beiden Anschlüsse nutzen, nur ist der zweite Anschluss immer mit einem roten X gekennzeichnet. Was mache ich falsch und wie bekomme ich den zweiten Anschluss zum "fliegen"?
Ich verwende eine Watchguard x700 mit pfSense 2.01.
Vorab besten Dank für eure Hilfe.
Grüße,
Alexander -
Hi,
die Frage ist, wie Du die Internetverbindung aufbauen lassen willst? Ich konnte selbiges Problem einmal mit einem meiner (im MultiWAN) geschalteten Telekom-Anschlüsse beobachten, als die pfSense eine PPoE-Verbindung über das Telekom-Modem aufbauen sollte.
Wenn Du einen Router von der Telekom nutzen willst und dieser die Internetverbindung aufbauen soll, muss du entweder dem WAN-Interface zur pfSense eine "static-IP" aus dem "Router-Netz" geben oder automatisch eine DHCP-Lease vom Telekom-Router vergeben lassen!
Wenn das Ganze bereits entsprechend konfiguriert ist, ggf. das Interface nochmals auf "disabled" stellen und wieder "enablen" oder (falls DHCP eingestellt) eine neue Lease vom DHCP ziehen lassen!Wie gesagt, ich hatte einmal das gleiche Problem (mit dem "roten X"), als ich eine PPoE-Verbindung über ein "T-DSL-Modem" aufbauen wollte. Daher nutze ich immer die Telekom-Router für den Internet-Verbindungsaufbau und lasse den WAN-Interface(s) der pfSense einfach eine IP vom Telekom-Router via. DHCP zuweisen!
Viele Grüße!
-
Achte darauf, dass du an beiden pfsense WAN anschlüssen verschiedene Gateways in unterschiedlichen Subnetzen hast. Also einmal 192.168.1.1 und einmal 192.168.2.1.
Und prüfe, dass du "Block private networks" auf den beiden WAN interfaces deaktiviert hast.
Und ich würde empfehlen, den Speedport gegen alternative Router auzutauschen, wenn du sämtliche Firewall-Regeln an der pfsense durchführen möchtest, denn die Firewall am Speedport lässt sich am Speedport nicht komplett abschalten, sondern nur eine "pseudoabschaltung".
Nutze zwar keinen VDSL Anschluss aber hatte einen neueren Speedport für ADSL bekommen und diesen nach lesen im Internet und eigenen Versuchen gegen eine FritzBox ausgetauscht. Dort konnte ich einen "DMZ host" oder "Unrestricted Host" einrichten.
-
Hallo Nachtfalke,
sorry… etwas stressig im Job, daher die Antwort so spät.
Zu Deiner Frage. Nein, ich habe nur die VDSL Modems von der Telekom dran. Also ein Speedport 300HS und ein Speedport 221. Keinen Router der Telekom.
Der Verbindungsaufbau soll in beiden Fällen per PPPOE passieren, die Zugangsdaten sind in der pfSense hinterlegt.
Ich habe Deine Teilantwort gelesen... -> "einmal 192.168.1.1 und einmal 192.168.2.1". Sorry wenn ich "doof" frage. Wo stelle ich das ein? In der pfSense? Wenn ja, wo liegt mein Verständnisproblem?
Danke und Grüße,
Alexander -
192.168.1.1 und 192.168.2.1 wären die theoretisch verchiedenen Subnetze gewesen, wenn du zum Beispiel einen Speedport Router verwendet hättest.
Wichtig beim Dual-WAN ist, dass du verschiedene Gateways hast. Wenn deine beiden PPPoE Verbindungen den gleichen Gateway nutzen, dann musst du mindestens pfsense 2.0.3 verwenden.
Weiterhin muss du spezielle Konfigurationen vornehmen, wenn du Multi-WAN + squid benutzt.Die Aussage "rotes X" - das klingt für mich irgendwie so, als würde die Kabelverbindung nicht stimmen, oder die Duplex Einstellungen oder statt 100Mbit/s 1.000MBit/s.
Auch bin ich bei VDSL nicht sicher, ob dabei nicht von der Telekom aus verschiedene VLANs gesendet werden - du müsstest also das WAN interface entsprechend der VLANs konfigurieren, wenn es das Modem nicht bereits macht. Da kann ich dir aber leider keine genaue Auskunft geben. -
Genau das beschrieben Problem mit "dem roten X" konnte ich beim Verbindungsaufbau über PPoE auch feststellen.
Wie gesagt, versuche am besten einmal direkt einen Router (welcher die Verbindung mit dem internen Modem aufbaut) zu verwenden und diesem dann einen eigene IP (wie z.B. die 192.168.2.1) zu geben.
Die pfSense dann entsprechend mit dem jeweiligen WAN-Interface mit einer IP aus dem Subnet des Router verbinden und das Problem sollte behoben sein.War bei mir genau der gleiche Fall, dass das angeschlossenen Modem über PPoE im MultiWAN nur Probleme verursacht hatte - bis ein Router anstelle des Modems angeschlossen wurde und das Problem seitdem nie mehr aufgetreten ist…
Hallo Nachtfalke,
sorry… etwas stressig im Job, daher die Antwort so spät.
Zu Deiner Frage. Nein, ich habe nur die VDSL Modems von der Telekom dran. Also ein Speedport 300HS und ein Speedport 221. Keinen Router der Telekom.
Der Verbindungsaufbau soll in beiden Fällen per PPPOE passieren, die Zugangsdaten sind in der pfSense hinterlegt.
Ich habe Deine Teilantwort gelesen... -> "einmal 192.168.1.1 und einmal 192.168.2.1". Sorry wenn ich "doof" frage. Wo stelle ich das ein? In der pfSense? Wenn ja, wo liegt mein Verständnisproblem?
Danke und Grüße,
Alexander -
Zu Deiner Frage. Nein, ich habe nur die VDSL Modems von der Telekom dran. Also ein Speedport 300HS und ein Speedport 221.
Und der Speedport kann VDSL?
Hab hier auch zwei VDSL über ein Allnet Modem am laufen, geht ohne Probleme.
-
Also das was 9fisi1 beschreibt wäre so aufzusetzen:
: : : Telekom VDSL : Telekom VDSL : : .---+---. .--+--. WAN1 | DSL | Modems | DSL | WAN2 '---+---' '--+--' | | Ethernet | | PPPoE | | .----+----. .----+----. | Router1 | Router | Router2 | '----+----' '----+----' 192.168.101.1/24 | | 192.168.102.1/24 | .---------. | +------| pfSense |------+ 192.168.101.2/24 '----+----' 192.168.102.2/24 : internes LAN : 10.0.0.1/24Wichtig hier: hinter deine beiden VDSL Modems wie in der Grafik 2 kleine Router hängen. Die müssen jetzt nichts dolles können, es genügt, wenn sie eine Einstellung haben (außer dem VDSL , was sie natürlich beherrschen müssen), dass du sämtlichen Traffic an einen "dedicated Host" (oftmals falsch auch als DMZ Host bezeichnet) weiterleiten können, OHNE dass etwas gefiltert wird.
Die beiden Router 1 und 2 bekommen dann intern eine statische Adresse (192.168.101/102.1). DHCP wird IMMER abgeschaltet, Freunde. Das nur an der Stelle erwähnt, weil ich hier etwas gelesen habe von DHCP im Transfernetz. Nichts da! Es gibt nichts schlimmeres als wenn eine Firewall (pfSense) in solch einem Transfernetz-Setup auch noch ständig wechselnde externe Adressen hat. Dann kommt nie Ruhe rein. Sicher, es sollte keine Adresswechsel geben, aber für Debugging und Diagnose ist es tödlich. Zudem es schwierig wird, dem Router beizubringen, dass die dedicated Host IP ständig wechselt.
Der pfSense geben wir aus den beiden Transfernetzen die .2 als statische WAN1/2 Adresse. Eigentlich bräuchte es an der Stelle auch kein /24 Netz, ist aber meistens einfacher zu verstehen. Theoretisch würde ich ein /29 vorschlagen, das vergeudet am wenigsten Adressen und ermöglicht trotzdem noch, dass man sich in die Transfernetze mit dazusteckt (Laptop o.ä.) um Probleme zu suchen.
Anschließend werden der pfSense noch die Gateways zugewiesen (die .1er Adressen) und für jede Strecke eine Check-IP hinterlegt. Bspw. 8.8.8.8 für WAN1 und 8.8.4.4 über WAN2 (das sind die beiden Google public DNS Server, geht aber auch mit anderen. Es darf nur nicht die gleiche IP pro Interface sein).
Danach im Debugging Menü durchaus mal einen Ping nach draußen machen über das Interface WAN1 und WAN2. Beides geht? Perfekt, dann kann mit der Konfiguration der Regeln und/oder sonstigen Dienste weitergemacht werden.
Grüße
