Load Balancing - Verschiedene ISP



  • Hallo,

    ich habe folgende installation.
    LAN
    WAN1 (verbindung per PPTP)
    WAN2 (verbindung per PPTP)

    Die 2 WAN Interfaces sind jeweils von andere ISP, deshalb auch andere Gateways.

    Ich möchte gerne den ausgehenden Traffic auf die zwei Internetanschlüsse aufteilen (round robin).
    Wie löse ich dieses Problem am besten?

    Ich habe das problem, dass WAN2 per PPTP nicht verbindet. Bei status steht "Pending".
    Folgenden output habe ich:

    WAN2 interface (pptp1)
    Status up
    PPTP up 
    Uptime 00:00:0
    MAC address 00:00:00:00:00:00

    Das wär mal die erste Mission ;)

    Danke für die Hilfe.



  • Hallo,

    ich bin nicht sicher, ob pfsense es unterstützt, mehrere PPTP Verbindungen aufzubauen. Kann aber auch sein, dass diese Limitierung nur zutrifft, wenn ein Client durch pfsense hindurch mehr als 1 PPTP Verbindung aufbauen möchte.

    Weiterhin solltest du dir überlegen, ob du weiterhin PPTP nutzen möchtest, da es mittlerweile als unsicher eingestuft wird und die Verschlüsslung gebrochen ist.

    Zum Testen bzgl. der beiden PPTP Verbindungen könntest du WAN1 PPTP trennen und schauen, ob die Verbindung über WAN2 geht. Somit könntest du ausschließen, das etwas falsch konfiguriert ist. wenn WAN1 geht und WAN2 nicht und umgekehrt, dann könnte es die pfsense Limitierung sein.

    LoadBalancing (round robin) kannst du einrichten, indem du unter:
    SYSTEM –> Routing --> Groups
    eine Gateway Gruppe erstellst mit den jeweiligen Gateways von WAN1 und WAN2. Haben gateways gleiche Tier Stufen, geschieht LoadBalancing oder beim Ausfall eines gateways ein automatisches Failover.

    Anschließend musst du die erstellte Gruppe in den Firewall Regeln auf dem LAN Interface noch einrichten.

    HINWEIS:
    Manche Protokolle, wie zum Beispiel https mögen kein LoadBalancing. Du musst hierfür also entweder eine extra Firewall Regel erstellen, ohne LoadBalancing oder aber du kannst in "System --> Advanced" irgendwo "Sticky connections" aktivieren. Bei aktivierten Sticky connections ist das LoadBalancing aber meist nur noch für verschiedene Rechner gegeben, aber nicht für ein und denselben Rechner. Die Einstellung bewirkt, dass neue Verbindungen einer Source-IP immer über den gateway geroutet werden auf dem bereits zur gleichen Source-IP Verbindungen bestehen.

    Grüße



  • @Nachtfalke:

    ich bin nicht sicher, ob pfsense es unterstützt, mehrere PPTP Verbindungen aufzubauen. Kann aber auch sein, dass diese Limitierung nur zutrifft, wenn ein Client durch pfsense hindurch mehr als 1 PPTP Verbindung aufbauen möchte.

    Habe gerade den 'Fehler' gefunden. Die 2 Modems sind zwar in Unterschiedliche Netze (bzw VLANs) hatten aber beide die IP Adresse 10.0.0.138. Habe jetzt das 2. Modem im Netz 10.0.1.*. Jetzt funktioniert auch die PPTP Verbindung.

    Weiterhin solltest du dir überlegen, ob du weiterhin PPTP nutzen möchtest, da es mittlerweile als unsicher eingestuft wird und die Verschlüsslung gebrochen ist.

    Das Modem ist ein PPTP-to-PPPoA relay. Kann da leider nix anderes verwenden. Das wird vom ISP bzw Telekom so gehandhabt.

    LoadBalancing (round robin) kannst du einrichten, indem du unter:
    SYSTEM –> Routing --> Groups
    eine Gateway Gruppe erstellst mit den jeweiligen Gateways von WAN1 und WAN2. Haben gateways gleiche Tier Stufen, geschieht LoadBalancing oder beim Ausfall eines gateways ein automatisches Failover.

    Danke. Habe jetzt Firewall regeln und Gateway Groups eingestellt. Nur mir kommt so vor, dass auch https Traffic auf die 2 Leitungen aufgeteilt wird. Können die Regeln (siehe Anhang) so stimmen?






  • Stimmt fast der Ansatz passt schon.
    Nur die Ports wo bei Load Balance passieren soll nicht als Source sonder das Destiantion Port eintragen (in dem Screenshote stehe sie bei Source drin)



  • @flix87:

    Stimmt fast der Ansatz passt schon.
    Nur die Ports wo bei Load Balance passieren soll nicht als Source sonder das Destiantion Port eintragen (in dem Screenshote stehe sie bei Source drin)

    Ah danke. Da habe ich ein Verständnisproblem. Für welche Zwecke trage ich dann einen Source Port ein?



  • @seitle:

    @flix87:

    Stimmt fast der Ansatz passt schon.
    Nur die Ports wo bei Load Balance passieren soll nicht als Source sonder das Destiantion Port eintragen (in dem Screenshote stehe sie bei Source drin)

    Ah danke. Da habe ich ein Verständnisproblem. Für welche Zwecke trage ich dann einen Source Port ein?

    Im Normalfall nie. Source-Ports werden in 99.9% der Fälle dynamisch generiert und liegen im Bereich 1024-65536

    PS:
    Ich würde dir empfehlen, einen Port-Alias zu erstellen.
    Da hinein packst du alle Ports, die du als Failover nutzen möchtest. Dann musst du nur eine Firewall Regel erstellen und nicht für jeden Port eine eigene Regel.



  • @Nachtfalke:

    Im Normalfall nie. Source-Ports werden in 99.9% der Fälle dynamisch generiert und liegen im Bereich 1024-65536
    […]
    Ich würde dir empfehlen, einen Port-Alias zu erstellen.
    […]

    Danke für die HIlfe. Scheint nun alles zu funktionieren.
    Jedoch habe ich noch Probleme mit FTP (SSL, passiv). Irgendwie kann der client keine richtige Verbindung mehr herstellen.
    Welche regeln muss ich dort noch hinzufügen?



  • Diese beiden Protokolle/Ports sollten ausreichen:

    
    20/TCP DATA Port,
    21/TCP Control Port
    
    

  • Moderator

    Evtl. hilft es für FTP gezielt eine Leitung auszuwählen und den FTPHelper zu nutzen? Wenn es mit diesem und MultiWAN aber Probleme geben sollte, die Option abschalten und manuell die Ports über eine Line weiterleiten sollte helfen.



  • @JeGr:

    Evtl. hilft es für FTP gezielt eine Leitung auszuwählen und den FTPHelper zu nutzen? Wenn es mit diesem und MultiWAN aber Probleme geben sollte, die Option abschalten und manuell die Ports über eine Line weiterleiten sollte helfen.

    Muss Port 20, 21 und >= 1024 manuell eine leitung zuweisen. Dann geht es…. Bis jetzt :)



  • TCP Port 20/21 muss über eine Leitung gehen. Ports größer 1024 musst du nicht freigeben. Wir reden hier nur von ZIEL Ports.
    FTP-Helper ist - meines Wissens - nur nötig, wenn man im eigenen Netz einen FTP Server betreibt.

    Nach Änderungen solltest du die States zurücksetzen an der pfsense, damit nicht noch bestehende Verbindungen (States) verwendet werden.