Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Load Balancing - Verschiedene ISP

    Scheduled Pinned Locked Moved Deutsch
    11 Posts 4 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      seitle
      last edited by

      Hallo,

      ich habe folgende installation.
      LAN
      WAN1 (verbindung per PPTP)
      WAN2 (verbindung per PPTP)

      Die 2 WAN Interfaces sind jeweils von andere ISP, deshalb auch andere Gateways.

      Ich möchte gerne den ausgehenden Traffic auf die zwei Internetanschlüsse aufteilen (round robin).
      Wie löse ich dieses Problem am besten?

      Ich habe das problem, dass WAN2 per PPTP nicht verbindet. Bei status steht "Pending".
      Folgenden output habe ich:

      WAN2 interface (pptp1)
      Status up
      PPTP up 
      Uptime 00:00:0
      MAC address 00:00:00:00:00:00

      Das wär mal die erste Mission ;)

      Danke für die Hilfe.

      1 Reply Last reply Reply Quote 0
      • N
        Nachtfalke
        last edited by

        Hallo,

        ich bin nicht sicher, ob pfsense es unterstützt, mehrere PPTP Verbindungen aufzubauen. Kann aber auch sein, dass diese Limitierung nur zutrifft, wenn ein Client durch pfsense hindurch mehr als 1 PPTP Verbindung aufbauen möchte.

        Weiterhin solltest du dir überlegen, ob du weiterhin PPTP nutzen möchtest, da es mittlerweile als unsicher eingestuft wird und die Verschlüsslung gebrochen ist.

        Zum Testen bzgl. der beiden PPTP Verbindungen könntest du WAN1 PPTP trennen und schauen, ob die Verbindung über WAN2 geht. Somit könntest du ausschließen, das etwas falsch konfiguriert ist. wenn WAN1 geht und WAN2 nicht und umgekehrt, dann könnte es die pfsense Limitierung sein.

        LoadBalancing (round robin) kannst du einrichten, indem du unter:
        SYSTEM –> Routing --> Groups
        eine Gateway Gruppe erstellst mit den jeweiligen Gateways von WAN1 und WAN2. Haben gateways gleiche Tier Stufen, geschieht LoadBalancing oder beim Ausfall eines gateways ein automatisches Failover.

        Anschließend musst du die erstellte Gruppe in den Firewall Regeln auf dem LAN Interface noch einrichten.

        HINWEIS:
        Manche Protokolle, wie zum Beispiel https mögen kein LoadBalancing. Du musst hierfür also entweder eine extra Firewall Regel erstellen, ohne LoadBalancing oder aber du kannst in "System --> Advanced" irgendwo "Sticky connections" aktivieren. Bei aktivierten Sticky connections ist das LoadBalancing aber meist nur noch für verschiedene Rechner gegeben, aber nicht für ein und denselben Rechner. Die Einstellung bewirkt, dass neue Verbindungen einer Source-IP immer über den gateway geroutet werden auf dem bereits zur gleichen Source-IP Verbindungen bestehen.

        Grüße

        1 Reply Last reply Reply Quote 0
        • S
          seitle
          last edited by

          @Nachtfalke:

          ich bin nicht sicher, ob pfsense es unterstützt, mehrere PPTP Verbindungen aufzubauen. Kann aber auch sein, dass diese Limitierung nur zutrifft, wenn ein Client durch pfsense hindurch mehr als 1 PPTP Verbindung aufbauen möchte.

          Habe gerade den 'Fehler' gefunden. Die 2 Modems sind zwar in Unterschiedliche Netze (bzw VLANs) hatten aber beide die IP Adresse 10.0.0.138. Habe jetzt das 2. Modem im Netz 10.0.1.*. Jetzt funktioniert auch die PPTP Verbindung.

          Weiterhin solltest du dir überlegen, ob du weiterhin PPTP nutzen möchtest, da es mittlerweile als unsicher eingestuft wird und die Verschlüsslung gebrochen ist.

          Das Modem ist ein PPTP-to-PPPoA relay. Kann da leider nix anderes verwenden. Das wird vom ISP bzw Telekom so gehandhabt.

          LoadBalancing (round robin) kannst du einrichten, indem du unter:
          SYSTEM –> Routing --> Groups
          eine Gateway Gruppe erstellst mit den jeweiligen Gateways von WAN1 und WAN2. Haben gateways gleiche Tier Stufen, geschieht LoadBalancing oder beim Ausfall eines gateways ein automatisches Failover.

          Danke. Habe jetzt Firewall regeln und Gateway Groups eingestellt. Nur mir kommt so vor, dass auch https Traffic auf die 2 Leitungen aufgeteilt wird. Können die Regeln (siehe Anhang) so stimmen?

          fw_rules.png
          fw_rules.png_thumb
          gateways.png
          gateways.png_thumb

          1 Reply Last reply Reply Quote 0
          • F
            flix87
            last edited by

            Stimmt fast der Ansatz passt schon.
            Nur die Ports wo bei Load Balance passieren soll nicht als Source sonder das Destiantion Port eintragen (in dem Screenshote stehe sie bei Source drin)

            1 Reply Last reply Reply Quote 0
            • S
              seitle
              last edited by

              @flix87:

              Stimmt fast der Ansatz passt schon.
              Nur die Ports wo bei Load Balance passieren soll nicht als Source sonder das Destiantion Port eintragen (in dem Screenshote stehe sie bei Source drin)

              Ah danke. Da habe ich ein Verständnisproblem. Für welche Zwecke trage ich dann einen Source Port ein?

              1 Reply Last reply Reply Quote 0
              • N
                Nachtfalke
                last edited by

                @seitle:

                @flix87:

                Stimmt fast der Ansatz passt schon.
                Nur die Ports wo bei Load Balance passieren soll nicht als Source sonder das Destiantion Port eintragen (in dem Screenshote stehe sie bei Source drin)

                Ah danke. Da habe ich ein Verständnisproblem. Für welche Zwecke trage ich dann einen Source Port ein?

                Im Normalfall nie. Source-Ports werden in 99.9% der Fälle dynamisch generiert und liegen im Bereich 1024-65536

                PS:
                Ich würde dir empfehlen, einen Port-Alias zu erstellen.
                Da hinein packst du alle Ports, die du als Failover nutzen möchtest. Dann musst du nur eine Firewall Regel erstellen und nicht für jeden Port eine eigene Regel.

                1 Reply Last reply Reply Quote 0
                • S
                  seitle
                  last edited by

                  @Nachtfalke:

                  Im Normalfall nie. Source-Ports werden in 99.9% der Fälle dynamisch generiert und liegen im Bereich 1024-65536
                  […]
                  Ich würde dir empfehlen, einen Port-Alias zu erstellen.
                  […]

                  Danke für die HIlfe. Scheint nun alles zu funktionieren.
                  Jedoch habe ich noch Probleme mit FTP (SSL, passiv). Irgendwie kann der client keine richtige Verbindung mehr herstellen.
                  Welche regeln muss ich dort noch hinzufügen?

                  1 Reply Last reply Reply Quote 0
                  • N
                    Nachtfalke
                    last edited by

                    Diese beiden Protokolle/Ports sollten ausreichen:

                    
                    20/TCP DATA Port,
                    21/TCP Control Port
                    
                    
                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      Evtl. hilft es für FTP gezielt eine Leitung auszuwählen und den FTPHelper zu nutzen? Wenn es mit diesem und MultiWAN aber Probleme geben sollte, die Option abschalten und manuell die Ports über eine Line weiterleiten sollte helfen.

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • S
                        seitle
                        last edited by

                        @JeGr:

                        Evtl. hilft es für FTP gezielt eine Leitung auszuwählen und den FTPHelper zu nutzen? Wenn es mit diesem und MultiWAN aber Probleme geben sollte, die Option abschalten und manuell die Ports über eine Line weiterleiten sollte helfen.

                        Muss Port 20, 21 und >= 1024 manuell eine leitung zuweisen. Dann geht es…. Bis jetzt :)

                        1 Reply Last reply Reply Quote 0
                        • N
                          Nachtfalke
                          last edited by

                          TCP Port 20/21 muss über eine Leitung gehen. Ports größer 1024 musst du nicht freigeben. Wir reden hier nur von ZIEL Ports.
                          FTP-Helper ist - meines Wissens - nur nötig, wenn man im eigenen Netz einen FTP Server betreibt.

                          Nach Änderungen solltest du die States zurücksetzen an der pfsense, damit nicht noch bestehende Verbindungen (States) verwendet werden.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.