Multi-WAN Failover Hilfe



  • Guten Tag allerseits,

    wie ihr seht, bin ich neu hier und auch sehr neu in der pfSense Scene. Ich komme als alter IPCop User rübergeschwappt, weil ich eine Lösung zwecks Multi-Wan suche und denke mit pfSense gefunden zu haben.

    Ich habe mir sämtliche Tutorials, die ich zum Multi-Wan finden konnte durchgelesen und muss feststellen, dass sich alle ein wenig unterscheiden.

    Meine Setup sieht wie folgt aus:

    Apu1 mit 3 Ethernet Anschlüssen.
    Ein DSl Modem
    Ein UMTS/LTE Router

    Alles steht in einer Testumgebeung, also Scheunentor Betrieb, solange, bis ich sicher bin, dass Multi-Wan so arbeitet wie es sollte.

    Interfaces hab ich:
    WAN -> default WAN, 192.168.2.1
    LAN  -> 192.168.90.1
    WAN2 -> 192.168.1.1

    Beide WAN's stehen auf DHCP, da die IP (noch) vom Router kommt.

    Unter:
    System->Routing habe ich bei Gateways zwei Einträge. Jeweils die WAN SChnittstellen. Als Monitor IP habe ich die Google IP's 8.8.8.8 und bei dem zweiten 8.8.4.4 eingetragen.
    Die wirklicken DNS der ISP werde ich dann in der Endumgebung einpflegen. Also ersteinmal zum Test die Google IP.

    Unter:
    System -> Gateway Groups habe ich drei Gruppen erstellt:
    1. SuperWAN mit Tier1 und Tier1
    2. WANFreenet mit Tier1 und Tier2
    3. WanUMTS mit Tier2 und Tier1

    Unter:
    Firewall Rules unter dem Reiter "LAN" habe ich drei Regeln hinzugefügt, wie in dem diesem Link hier beschrieben:
    http://pfsensesolution.blogspot.de/2012/11/multi-wan-load-balancing.html

    Dann habe ich noch die Funktion: Allow default gateway switching per Kästchen aktiviert.

    Unter Status->Gateways werden beide als online angezeigt.

    In der Lanbuchse der pfSense habe ich ein Router ohne DHCP als Hub laufen.
    Dadrin habe ich einen Laptop, der auch wie es sein sollte, eine korrekte IP via DHCP bekommen hat und surfen kann.

    Wenn dauerhaft eine Seite refreshe und dabei einen WAN Port abklemme, geht das Spiel auch weiter. Stecke ich den WAN wieder ein, warte 5 Sekunden und trenne den anderen, klappt auch alles weiterhin.

    Failover klappt also?!
    Was nicht klappt, und ich nicht weiß, ob das überhaupt klappen kann ist, wenn ich einen Download auf dem Laptop starte und dann ein Kabel trenne, dann hängt der Download. Egal welcher WAN als default angebeben ist, oder welches WAN ich trenne.
    Hier reichen meine Kenntnisse aber nicht, um zu wissen, ob das überhaupt möglich ist?

    Was auch nicht klappt, ist Load-Balancing. Ich kenne von beiden WAN's die Downloadraten und bekomme immer nur eine Bandbreite. Kann man aber auch im TraficGraph sehen, dass nur eine WAN Schnittstelle Traffic verursacht.

    DNS scheint zu funktionieren. Wenn ich per CMD unter Windows z.B. heise anpinge kommt alles korrekt zurück. Wenn ich einen WAN dabei trenne, pingt er weiter. Ziehe ich beide kommt natrülich nix mehr und stecke ich einen wieder ein, gehts weiter.
    Daraus bilde ich mir ein, dass es am DNS nicht liegen kann.

    Unter:System->Advanced->Miscellaneous  gibt es den Abschnitt "Gateway Monitoring"
    Dort gibt es zwei Hacken. Der erste ist bei mir angeklickt "State Killing on Gateway Failure" und der "Stop Rules when gateway is down" ist NICHT abgeklickt. Ist das so in Ordnung?

    Vielleicht springt jemanden ja der Fehler ins Gesicht, den ich habe.
    Vielen dank, für alle die sich das annhemen hier.
    Gruß
    Tobais L.



  • sieht ja schon mal gut aus.

    was nicht klappen wird ist einfach so die beiden Anschlüsse zu bündeln.

    Du kannst Loadbalancing machen dann nutz man für eine Verbindung den WAN1 und dann den WAN2 für eine andere Verbindung.

    Willst du die Downloadraten beider Anschlüsse addieren musst du einen Downloadmanager benutzen der mehr als eine Verbindung herstellen kann.

    Einfach so zwei WAN's mit zwei IP's zu einem Downloadstream zu verbinden geht nicht.

    Es entlastet aber die Anschlüsse wenn einfach gesagt die eine hälfte der User WAN1 nimmt und die andere hälfte WAN2.
    Aufpassen muss man hier nur bei verbindungen die einen IP Wechsel nicht mögen wie HTTPS.


  • LAYER 8 Moderator

    Hallo Tobias,

    Was nicht klappt, und ich nicht weiß, ob das überhaupt klappen kann ist, wenn ich einen Download auf dem Laptop starte und dann ein Kabel trenne, dann hängt der Download. Egal welcher WAN als default angebeben ist, oder welches WAN ich trenne.
    Hier reichen meine Kenntnisse aber nicht, um zu wissen, ob das überhaupt möglich ist?

    Nein das kann technisch nicht funktionieren, da beide WANs nach außen völlig unterschiedliche IPs haben. Den Download stößt du auf dem Client wie folgt an:

    Client -> pfS -> WAN1 -> RouterWAN1 -> INTERNET -> Ziel

    Klemmst du WAN1 ab und WAN2 übernimmt, kann er den Download nicht transparent weitermachen, denn der Weg sieht jetzt so aus:

    Client -> pfS -> WAN2 -> RouterWAN2 -> INTERNET -> Ziel

    Du kommst also draußen mit anderer Adresse an und kannst den Download daher nicht weiterführen.
    Was in diesem Fall geht wäre ein Downloadmanager, der den Verbindungsabriß bemerkt, kurz pausiert und dann mit neuer IP erneut weiterlädt (allerdings nur wenn die Gegenstelle die Wiederaufnahme von Downloads gestattet).

    Was auch nicht klappt, ist Load-Balancing. Ich kenne von beiden WAN's die Downloadraten und bekomme immer nur eine Bandbreite. Kann man aber auch im TraficGraph sehen, dass nur eine WAN Schnittstelle Traffic verursacht.

    Ich weiß nicht ob du hier wirklich Load-Balancing meinst. LB heißt aber nicht: 2+2 sind 4. Du kannst aus offensichtlichen (obigen) Gründen nicht einfach bei einem Zielserver die doppelte Bandbreite haben nur weil du jetzt mit 2 Leitungen angebunden bist. Du musst dann auch beide nutzen - was beim gleichen Ziel aus dem selben Grund nicht geht wie oben: du bist mit 2 unterschiedlichen Adressen online. Loadbalancing würde an der Stelle jetzt versuchen von bspw. 4 gleichzeitigen Verbindungen 2 über WAN1 und 2 über WAN2 abzuwickeln. Dabei kann aber dann jeder der Verbindungen nur das Maximum seiner Leitung haben. Dann lastest du beide aus. Bspw. ein Download des pfSense ISOs über WAN1 und gleichzeitig ein Download eines anderen ISOs über WAN2. Damit schaffst du dann beide Links zu sättigen.

    Ansonsten müsstest du mal die Screens deiner LB Konfiguration posten, wenn bspw. über WAN2 gar nichts läuft und das auch nie.

    In der Praxis wird "echtes" LB aber selten genutzt. Meist ist die eine Leitung schwächer, kleiner oder kostet mehr und somit werden entweder gezielt einige Dienste darüber abgewickelt und alles andere über das Haupt-WAN oder sie wird wirklich nur als Fallback (oder Test-Line) benutzt. Gerade aus dem Grund #1 beim normalen Download (externe IP wechselt) ist es nämlich eher lästig mit 2 oder mehr Leitungen extern zu hantieren. Beispiel ist eine 100MBit Anbindung für Hauptbetrieb und ein 10MBit Line als Backup/Fallback. Da man die Leitung eh zahlt und ggf. sogar Flat hat, legt man nun bspw. gerne auch mal Test-Traffic oder bspw. Gäste-WLANs auf die kleine Line, damit die Hauptanbindung auch geschont wird. Oder man hat bspw. eine asymetrische Leitung (100/2) mit dickem Downstream und eine symmetrische mit größerem Upstream (5,5/10Mbit sync.), dann wird gerne der Upstream oder wichtiger Traffic über die 2. Line gehandelt.

    Grüße
    Jens



  • Ho, danke für die fixen Antworten!!
    Für mein IT-Verständnis finde ich das eine Meisterleistung, die DL Raten der WAN's zu bündeln und hätte auch nie gedacht, dass das geht. Aber ich hab dieses Video gesehen und wenn das kein Fake ist, schafft der Knabe doch genau das? Oder was missverstehe ich da?

    Hier der Link:
    Youtube Video

    Wenn das wirklich unmöglich ist mit der Bündelung, bin ich ja eigentlich am Ziel meines Vorhabens…
    Wenn LoadBalancing, wie ich es dachte nicht geht, dann kann doch auch unter: System->Gateway Group, die SuperWAN Gruppe weg, in der beide Prios auf TIER1 stehen. Denn genau die, sollte doch LB ermöglichen?

    Vielleicht helft ihr mir ja dann auch meinen zweiten Schritt weiter. Die doppel WAN Geschichte soll trotz Ausfalle eines Anschlusses, den Fernzugriff auf einige PC's sicherstellen.
    Mal ganz simpel angenommen, die werden via default VNC Port erreicht, was ohne pfSense der Telekomrouter noch übernimmt, ist es, und wenn ja wie, möglich, mit einem DYNDNS Dienst, der in der pfSense konfiguriert ist, die Erreichbarkeit der PC's über beide WAN's sicherzustellen?

    Die Router, die ich vor der pfSense hängen habe, sollten doch beide mit der DMZ auf die pfSense zeigen und alles was stören könnte, deaktivieren. Firewall z.B.

    Dann würde die pfSense das alleinige Portforwarding erledigen? Sonst, wenn die Router nicht auf DMZ gestellt sind, muss ich doch im Router auch alles forwarden? Sehe ich das richtig?

    Und noch eine Frage, um mein nicht vorhandenes Wissen unter Beweis zu stellen:

    Ich hab bisher noch nicht mit VLan gearbeitet. Verstehe ich das richtig, dass ich mit dem entsprechenden Switch, so viele Vlans erstellen/handeln kann, wie Ports vorhanden sind?

    Angenommen ich hab 10 Ports. Dann kommt in einem die pfSense an. Dann Erstelle ich mit 9 Vlans und konfiguriere die jeweils einem Port zu und habe dann 9 getrennte "Lan's", welche alle aus einem Ethernetport der pfSense kommen und ich diese alle wie getrennte Netzwerke mit Regeln und Co versehen kann?

    EDIT:
    Zu: "Ansonsten müsstest du mal die Screens deiner LB Konfiguration posten, wenn bspw. über WAN2 gar nichts läuft und das auch nie."

    Die Konfig der LB kommt doch aus den Gruppen der Gateways, oder? Mehr EInstellungen, als die ich genannt habe, habe ich nicht vorgenommen.

    Was in der pfSense unter: System->LoadBalancing erscheint, ist doch rein für einen Serverbetrieb vorgesehen, wie es auch angemerkt ist drunter.
    "The Load Balancer in pfSense ist for SERVER load balancing, not for Multi-WAN.
    For load Balancer or failover for multiplie WANs, use gateway Gorups"

    Noch angemerkt: Ich nutze 2.1.3



  • in dem video sieht man genau das was ich gesagt habe einen Download Manager  ;) dann geht das ja auch. aber nicht einfach mit dem browser download starten und doppelte geschwindigkeit haben.

    der download manager macht mehr als eine verbindung gleichzeit auf und setzt die pakete dann selbst wieder zusammen.



  • Ah ja, der kleine feine Unterschied, dass er den DTA nutzt. Und tata, ausprobiert und klappt.

    Download startet mit 0,8mbit und wenn ich den DSL Router ziehe sinkt es auf 0,35mbit. wieder eingesteckt, neues Segment hinzugefügt und schon klettert die Rate. Dann den anderen gezogen und läuft weiter. Ich bin begeistert!
    Und ja, ihr lest richtig ;( Wir hatten mal einen knappen Mbit. Jetzt haben sich die Leitungswerte nochmals verschlechter und wir sind bei 0,4. Da Komplettanbieter inkl VoIp Telefonie -> Super! Man kommt sich vor wie in der Steinzeit, wenn man auf der Autobahn mit 100Mbit downloaden kann und @home mit weniger als einem Prozent davon.

    Danke für Eure Posts!


Log in to reply