Allow default gateway switching - Problem mit Reihenfolge



  • Hallo zusammen,

    ich habe ein kleines Problem, bei dem ich aktuell nicht weiterkomme.
    Und zwar habe ich auf meinen pfSensen den Punkt "Allow default gateway switching" angehakt, damit beim Wegfall des default Gateways auf eine andere Leitung geswitcht werden kann. Das funktioniert auch soweit ganz gut. Nun ist mir jedoch aufgefallen, dass die pfSense anscheinend die Gateways der Reihe nach durch geht, bis es eins gefunden hat, welches funktioniert. Es sieht so aus, als ob die Liste unter dem Punkt "Routing -> Gateway" von oben nach unten abgearbeitet wird. Ich habe nun aber das Problem, dass ich nicht nur die Gateways der DSL Leitungen und Glasfaser dort drin stehen hab, sondern auch einige OpenVPN Gateways.
    Wenn nun also ganz oben ein OpenVPN Gateway steht, wird dieses auch genommen.

    Kann man der pfSense irgendwie beibringen, eine bestimme Reihenfolge einzuhalten? Ich weiß, dass ich die Antwort indirekt schon selbst gegeben habe, aber das Löschen und Hinzufügen in der "richtigen" Reihenfolge ist doch sehr aufwändig, da ich über 20 pfSensen verwalte, und auch ständig neue Gateways hinzugefügt werden, da entwede neue Leitungen dazukommen oder wieder ein neuer VPN-Tunnel. Und da mal so einfach 15 Gateways löschen und dann wieder hinzufügen…das sollte wirklich nur die Notlösung sein.

    Auch das Abschalten der Funktion ist keine Lösung, denn ich benötige diese Funktion für den Aufbau des Open VPN-Tunnels (Client-Seite), da das Interface auf "any" steht.

    Ich bin für jeden Hinweis dankbar :)





  • Was genau meinst du?
    Die Tiers bei den Gatewaygroups kannst du vergessen, die kannst du nur innerhalb der Firewallrules nutzen. Bei OpenVPN kannst du keine Gruppe angeben.
    Und die Weight bezieht sich nur auf die Verteilung innerhalb einer Gruppe, somit bringt mir auch das nichts.

    OpenVPN kennt leider nur Gateways oder halt "any", aber keine Gruppen.

    Oder meinst du etwas ganz anderes in dem Artikel?


  • LAYER 8 Moderator

    Hallo MgT

    natürlich kennt pfSense Gateway Gruppen. Diese kann man dann in jeder Regel auch manuell setzen und damit eben erzwingen, dass bspw. Traffic von A über Gateway 1 und Traffic von B über GW 2 geroutet wird. Damit lassen sich dann auch Gruppen definieren, dass man sagt primär soll für A 1 genutzt werden, aber wenn 1 ausfällt gehe über 2. Genau dafür sind Gateway Gruppen gedacht.

    Wenn du also und so lese ich deinen ersten Post mehrere WANs hast und somit auch mehrere aktive Gateways, kann man diese eben in Gateway Gruppen packen. Bspw. GW_Default_1_2, in der Default GW eben das 1. ist und bei Ausfall das 2. genutzt wird. Anschließend wird in den Regeln das Gateway manuell auf die GW Gruppe GW_Default_1_2 gesetzt und damit dann source based routing umgesetzt.

    Genau das wird genutzt bei Multi WAN Anschlüssen um beim Wegfall eines WANs dann das zweite anzusprechen oder um Loadbalancing über 2 WANs zu machen. Ein Default Gateway Switching brauchst du an dieser Stelle dann gar nicht anhaken, da dein Default GW keine einzelne IP sondern Logik beinhaltet.



  • Hallo JeGr,

    erstmal danke für deinen Post.
    Das mit den Gruppen ist mir bewusst, da ich diese auch ausgiebig nutze. Funktioniert auch wirklich alles super.
    Das mit dem default gateway switching ist auch soweit richtig, da ja in der Firewall angegeben ist, dass Gruppe xy genutzt werden soll.

    Das switching benötige ich aus folgendem Grund:

    Alle OpenVPN Clients sollen eine Verbindung zu einem OpenVPN Server aufbauen. Hinter dem Server ist meistens eine 100mbit Glasfaser vorhanden, die Clients sollen auch primär mit der besten Leitung die Verbindung aufbauen. Meistens ist dies auch mindestens eine 34mbit Glasfaser. Wenn aber beim Client die Glasfaser wegbricht, dann wird der Tunnel gar nicht mehr aufgebaut, da bei der OpenVPN-Config ja die Glas angegeben ist. Um dies zu umgehen, habe ich festgestellt, dass die Option "any" nur dann funktioniert, wenn das default Gateway switching an ist. Nun ist es so, dass immer zuerst die Verbindung mit dem aktuellem Default Gateway aufgebaut wird. Also habe ich die dickste Leitung als default Gateway markiert. Dass bestimmter Traffic über andere Leitungen gejagt wird, habe ich, wie du schon beschrieben hast, über Gatewaygruppen in der Firewall gelöst. Nur leider kann ich die OpenVPN-Einstellungen nicht über die Firewall beeinflussen. Auch über Floating habe ich es nicht geschafft. Es scheint wirklich so, als ob OpenVPN wirklich nur die Routing-Tabelle nutzt und das dort eingetrage Gateway wählt, um die Verbindung zum Server aufzubauen.

    Und genau aus diesem Grund spielt die Reihenfolge der Gateways eine Rolle. Also entweder kann man die Reihenfolge bestimmen oder man kann OpenVPN irgendwie beibringen Gruppen zu benutzen. Ansonsten muss ich wirklich alle Gateways manuell löschen und in der richtigen Reihenfolge anordnen, oder mit jeder einzelnen Leitung eine VPN-Verbindung aufbauen und dann per OSPF und manueller Cost-Angabe die Priorität bestimmen. Beides ist aber leider mit viel Aufwand und Dokumentation verbunden und daher möchte ich diesen Weg eigentlich nicht gehen, da ich die Systeme so einfach wie möglich halten will.

    Trotzdem nochmal vielen Dank für deine Mühe


Log in to reply