Pfsense MultiWAN -NAT-



  • Hallo Liebe Leutz,

    Ich hätte da Fragen an Euch die mich beschäftigen.

    Ich habe hier eine Pfsense2.2.2  stehen.
    Eine selbst zusamengebaute Hardware Aplliance (Supermicro)
    Darin steckt eine 4-Port Server NIC sowei zwei Feste Ports.

    Pfsense läuft nun WAN to LAN (via DHCP (Cablecom)
    Die LAN Seite wird dann von Pfsense in einen 24-port DLink SmartManagetSwitch verteillt.
    Dahinter Natürlich die Clients.

    Nun habe ich noch einen zweiten Anschluss von Swisscom (PPPoE) mit Fixen 8-IPs (4 Nutzbaren) für 1:1 Natting
    Dahinter möchte ich zwei Nameserver Betreiben.

    Meine Idee ist es nun die jetzt bislanng Doppel geführten Netzte respektive die zwei Unterschiedlichen WAN Netzte auf den Pfsense zu bringen, um dort zu Verteilen.
    Das heisst SwisscomModem in Bridge Modus setzten.  Und WAN2 das Calbemodem

    Es sollen jeweils getrennte LAN wie WAN netzte bleiben.

    Also zb. Das LAN Netzt 192.168.166.0  läuft nur über WAN1 Das Netzt 192.168.104.0 nur über WAN2
    Auf WAN 1 muss dieses Natting möglich sein spricht öffentliche WAN IP = Interne Kiste mit der LAN-IP sowieso.
    So das ich sagen kann Client XY darf nur über WAN1
    So das ich zwei unabängig getrennte Netzte habe.

    Ich weiss nicht ob da VLAN was bringt, unterstützt der Switch habe aber keine Anhung davon.

    Ausserdem möchte ich gerne ein WLAN via Captive Portal haben.

    Geht sowas überhaupt und wenn ja wie.
    Oder ist da den zuviel last drauf.
    Das Handbuch (GoldMember) bringt mich leider auch nicht weiter!

    Ich Denke so könnte man Strom sparen da mindestens 1 Switch mal hinfällig würde.
    Ist das alles eine Gute Idee, oder gibts da Verbesserungsvorschläge?

    Ich würde mich sehr freuen über ein feedback von Euch.
    Hoffe Ihr versteht mich Irgendwie denn ich leide an einer leichten Legastenie.

    Es grüsst euch Herzlich

    funroli :)



  • Also von der Last her wenn ich lese du hast einen Supermicro und der ist nicht gerade alt sollte der schon was Schaffen.
    Kommt natürlich auf den Prozessor bzw. die Bandbreite der WAN Schnittstellen an.
    VLAN's brauchst du erst mal nciht hast ja 4 LAN Ports die reichen ja.
    Machbar ist das auch. Du kannst in der Firewall eine Regeln angelegn die dann sagt das spezielle Clients über ein Spezielles Gateway rausgehen.

    Wo kommst du denn aktuell nicht weiter? Bzw. wie weit bist du denn?



  • @flix87,

    Danke für Deine Einschätzung.
    Die Kiste ist diese hier inkl. Komponenten:
    https://www.brack.ch/supermicro-5015a-ehf-d525-161015
    https://www.brack.ch/memorysolution-2gb-shuttle-294352
    https://www.brack.ch/supermicro-aoc-sg-i4-4port-94259
    https://www.brack.ch/intel-flash-535-series-ssd-354520

    Damit Du die Leistung einschätzen Kannst. 4 GB Arbeitsspeicher sind drin ,mehr nicht möglich bei diesem Board.

    Ich weiss nich genau twie ich die Lösung Schritt für Schritt bewerkstelligen kann.
    Sprich Wie führe ich beide WAN`s auf die PF, und wie speise ich danach die LAN Netzte.

    Beim Switch muss ich Taggen damit die LAN Netzte unabhängig bleiben.
    Port 1-10 nur  166 Netz und Port 10-20 Netz 104 zb.

    Wie Richte ich es nun ein das Ich sagen kann das das LAN Netzt 166 über WAN1 laufen muss und das 104 über WAN2 und keine mischung möglich ist. ?
    Wie Richte ich auf einem der Beiden WANS (zb. WAN1)  das 1:1 NAT mit den 5 öffentlichen IP`s ein?
    Oder gibt es da was Besseres als NAT für  die Durchreichung Öffentliche Fixe WAN IP zu LAN Die 5 IPs sind nur auf WAN1 (PPPoE) verfügbar
    Die zweite leitung WAN2 läuft vom Anbieter aus via (DHCP) Dort müsste Ich noch wissen wie ich dem Anbieter einen anderen Hostname vorgaukeln kann, irgendwie sehen dei immer das es ein Supermicro ist, wie auch immer.

    Und wie stelle ich es an wenn ich gesetzen Fall mal das wieder auftrenne will um ein Failover mit den WANS zu machen?

    Grüss Dich
    funroli



  • WAN1 und WAN2 würde ich dann auf die PfSense stecke und dafür zwei getrennte Ports nehmen da diese eh vorhanden sind.

    Beim LAN kannst du nun mit VLAN Taggin arbeiten wenn du das nich magst kannst du die Netze auch auf die zwei verbleibenden Ports legen

    Wenn die WAN's laufen dann Gatewaygruppen anlegen einer mit WAN1 als ersten Tier und WAN 2 als Überlauf und dann noch eine Gruppe anlegen die genau andersrum ist.

    Dann auf LAN1 und LAN2 die Regeln einrichten und als Gateway jeweil die anlegete Gatewaygruppe auswählen.

    Bei NAT kann ich zu 1:1 nix sagen das nutze ich nie. Ich leite immer nur einzelne Ports weiter. Hier kann ich dann ja als Ziel die entsprechende IP bzw. den Alias auswählen



  • VLAN Taggen Switchseitig.
    Sprich ich Speise von je einem Port der PF die zwei LAN ein, das Tagging mach ich damit ich keien zweiten Switch benötige.
    Das heisst ich bringe von der PF her Saft auf Switch Port 1 Ausgänge an dem Switch sind dan con 2-10  und bei zweiten LAN dann natürlich analog 11 Eingang und 12-20 Ausgänge etc..

    Das mit den Gateway Gruppen hab ich nicht so recht Verstanden für was muss ich diese Gruppen udn Tier erstellen?

    Bei 1:1 NAT wird ja einfach alles Durchgereicht.

    Bedeutet dies das ich mit normalem NAT die geschichte Lösen kann?
    Als  Beispiel  Öffentliche IP XY (Quelle)  und als Ziel LAN IP der Kiste mir Port XY für Dienst XY?


  • Rebel Alliance Moderator

    Darin steckt eine 4-Port Server NIC sowei zwei Feste Ports.

    Also hast du 6 Ports auf der pfSense mit Gigabit zur Verfügung, korrekt?

    Pfsense läuft nun WAN to LAN (via DHCP (Cablecom)
    Die LAN Seite wird dann von Pfsense in einen 24-port DLink SmartManagetSwitch verteillt.
    Dahinter Natürlich die Clients.

    Also WAN2 - DHCP via Cablecom.

    Nun habe ich noch einen zweiten Anschluss von Swisscom (PPPoE) mit Fixen 8-IPs (4 Nutzbaren) für 1:1 Natting
    Dahinter möchte ich zwei Nameserver Betreiben.

    Ergo WAN1 - fixe IPs (komplettes /29er zugewiesen? Mit Gateway? Oder irgendwie einzelne IPs)?
    Auf WAN1 sollen (von außen?) dann 2 DNSe gepackt werden. Verstanden.
    -> Ist das bei euch gültig? Es gibt bei einigen Domains die feste Regel, dass 2 DNS Server NICHT im gleichen Subnetz stehen dürfen. Könnte also Probleme geben, je nach Domain Suffix den du dort betreiben willst.

    Meine Idee ist es nun die jetzt bislang Doppel geführten Netzte respektive die zwei Unterschiedlichen WAN Netzte auf den Pfsense zu bringen, um dort zu Verteilen.
    Das heisst Swisscom Modem in Bridge Modus setzten.  Und WAN2 das Calbemodem

    Verstanden. Siehe oben - korrekt? Sofern das mit dem Swisscom Modem sauber läuft (in DE ist das mit Kabelmodem und Bridge so ne Sache…), wäre das erstmal kein Problem. Dann solltest du von Swisscom (siehe Frage oben) ja Daten für das (wahrscheinliche) /29er Subnetz haben, die du eintragen sollst/musst? Cablecom auf WAN2 sollte ja per DHCP gehen?

    Es sollen jeweils getrennte LAN wie WAN Netze bleiben:
    Also zb.

    Wenn alles an einem eigenen Interface hängt, bleibt auch alles erstmal getrennt. Was dann funktioniert oder nicht bestimmst du über die pfSense.

    Das LAN Netz 192.168.166.0 läuft nur über WAN1

    Jop, geht.

    Das LAN Netz 192.168.104.0 läuft nur über WAN2

    Dito

    Auf WAN 1 muss dieses Natting möglich sein spricht öffentliche WAN IP = Interne Kiste mit der LAN-IP sowieso.

    Verstehe ich nicht so ganz. NAT wirst du eh abgehend benötigen (outbound NAT), denn auf WAN1 soll ja das 166er Netz rausgehen. Also wirst du eine IP von deinen Swisscom IPs als outbound NAT Adresse nutzen (wahrscheinlich die, welche die pfSense selbst bekommt, da default). Die anderen hast du dann für bspw. 1:1 NAT zur Verfügung.

    So das ich sagen kann Client XY darf nur über WAN1

    siehe oben - ja geht. Läuft dann via Regeln und deren Gateway Einstellung. Also bspw. auf dem LAN1 Interface eine Regel: from LAN1-net (.166.x) to any gateway WAN1 (wenn WAN1 das default Gateway ist brauchst du für Verbindungen die über WAN1 gehen sollen gar nichts definieren, statt dessen nur für Sachen die über WAN2 sollen).

    So das ich zwei unabängig getrennte Netzte habe.

    Genau

    Ich weiss nicht ob da VLAN was bringt, unterstützt der Switch habe aber keine Anhung davon.

    Wenn du alles an einem Switch betreiben willst - also LAN1 und LAN2 - und diese LANs wirklich "physikalisch" isolieren möchtest ohne extra Hardware (also 2. Switch), dann ist VLAN dein Tool der Wahl um den Switch in mehrere virtuelle LANs zu zerlegen.

    Ausserdem möchte ich gerne ein WLAN via Captive Portal haben.

    Und wie gelöst? Eigener Access Point? Soll dieser ein eigenes Subnetz haben oder in LAN1 oder LAN2 seine Clients packen? Oder sollen Clients in LAN1/2 oder einem GästeWLAN sein können über den gleichen AccessPoint? (möglich wenn der AP Multi-SSIDs und VLANs unterstützt).

    Grüße
    /jens



  • Hallo Jens,

    Da wird einem ja mal geholfen. Toll !!

    Also hast du 6 Ports auf der pfSense mit Gigabit zur Verfügung, korrekt?

    Das ist Absolut Korrekt ich habe an der PF 6 Physikalische Giga Ports.

    Also WAN2 - DHCP via Cablecom.

    Im moment ist es noch so das nur ein WAN besteht und dies Cablecom via DCHP ist.  WAN 2 Wird DCHP Cablecom völlig korrekt.

    Ergo WAN1 - fixe IPs (komplettes /29er zugewiesen? Mit Gateway? Oder irgendwie einzelne IPs)?
    Auf WAN1 sollen (von außen?) dann 2 DNSe gepackt werden. Verstanden.
    -> Ist das bei euch gültig? Es gibt bei einigen Domains die feste Regel, dass 2 DNS Server NICHT im gleichen Subnetz stehen dürfen. Könnte also Probleme geben, je nach Domain Suffix den du dort betreiben willst.

    Gemäss Provider Datasheet shiet es folgendermassen aus:
    Sie Sagen es seien 8 Fixe IPs Ich kann aber nur 4 Nutzen, warum auch immer.

    Nutzbare IP            81.202.58.114 - 81.202.58.118
    Netzwerkadresse    81.202.58.112
    Router IP                81.202.58.113
    Broadcast IP            81.202.58.119
    Subnet Maske          255.255.255.248

    Nameserver            195.186.1.162 / 195.186.4.162

    Kannst Du damit was Anfangen, resp. Beantwortet es Deine Frage, Wo gebe Ich all diese Daten in der PF an?

    Korrekt auf WAN1 Sollen 2 Namerserver Betrieben werden.
    Und natürlich wird in den RFC`s zu DNS selbstverständlich für Primary und Secondary vorgeschlagen die Nameserver jeweils in einem anderen Subnet zu Betreiben.
    Verboten oder nicht möglich ist es jedoch nicht. Denn hier geht es ja nur um die eigene Ausfallsicherheit einer Domain.

    Verstanden. Siehe oben - korrekt? Sofern das mit dem Swisscom Modem sauber läuft (in DE ist das mit Kabelmodem und Bridge so ne Sache…), wäre das erstmal kein Problem. Dann solltest du von Swisscom (siehe Frage oben) ja Daten für das (wahrscheinliche) /29er Subnetz haben, die du eintragen sollst/musst? Cablecom auf WAN2 sollte ja per DHCP gehen?

    Das Kabelmodem ist ja via DCHP, udn ich habe hier ein Modem ohne Routing Funktion, also Brigde läuft auf der PF ja schon so (bestehende Anlage)
    Das Bedeutet dann Kurz und Gut das ich den Zyxel Router von Swisscom Bridgen muss, so das nur das xDSL signal hergenommen wird. Die jetzige WAN1 zu WAN2 mache und WAN1 zu Swisscom.

    Das LAN Netz 192.168.104.0 läuft nur über WAN2

    Genau so soll es sein, Nur wo undWie Definiere ich das. Analog dann natürlich auch Bestimmend für Welche Clients dürfen über Welches Netz raus.

    Verstehe ich nicht so ganz. NAT wirst du eh abgehend benötigen (outbound NAT), denn auf WAN1 soll ja das 166er Netz rausgehen. Also wirst du eine IP von deinen Swisscom IPs als outbound NAT Adresse nutzen (wahrscheinlich die, welche die pfSense selbst bekommt, da default). Die anderen hast du dann für bspw. 1:1 NAT zur Verfügung.

    Das Verstehe ich nicht ganz! Welche IP muss ich denn für Outbound NAT nutzen und wo ist diese Einstellung zu machen
    Udn Diese Outbound IP ist dan diese die der Andere Rechner sieht? Versteh das nicht so ganz!

    siehe oben - ja geht. Läuft dann via Regeln und deren Gateway Einstellung. Also bspw. auf dem LAN1 Interface eine Regel: from LAN1-net (.166.x) to any gateway WAN1 (wenn WAN1 das default Gateway ist brauchst du für Verbindungen die über WAN1 gehen sollen gar nichts definieren, statt dessen nur für Sachen die über WAN2 sollen).

    Diese Gateway Geschichte und die Regeln ist mir auch noch nicht so klar. Gateway Bedeutet ja der Punkt über den Die Clients Rausgehen.
    Im Internen Lan ist das ja Die interne LAN IP der PF (Hat damit aber vermuttlich nichts zu Tun oder)

    Wenn du alles an einem Switch betreiben willst - also LAN1 und LAN2 - und diese LANs wirklich "physikalisch" isolieren möchtest ohne extra Hardware (also 2. Switch), dann ist VLAN dein Tool der Wahl um den Switch in mehrere virtuelle LANs zu zerlegen.

    Richtig, das ich aber auf dem Switch Selbst Definiere, damit hat ja dann die PF eigentlich nichts Direkt zu tun.

    Und wie gelöst? Eigener Access Point? Soll dieser ein eigenes Subnetz haben oder in LAN1 oder LAN2 seine Clients packen? Oder sollen Clients in LAN1/2 oder einem GästeWLAN sein können über den gleichen AccessPoint? (möglich wenn der AP Multi-SSIDs und VLANs unterstützt).

    Noch gar nicht gelöst ;-)
    Ja zwei eigene AccessPoint was grösseres (Cisco AP541N-K9) und ein Dlink furz AP Multi-SSID unterstütz er sicherlich. VLAN der Cisco weiss ich nicht glaube aber schon.
    Die Vorstellung war ein das ich Via WiFI in die eigenen Netzte komme. Die Gäste aber ein Eigenes Isoliertes Benützen, umso weder auf die PF noch auf sonstige Netzwerkgeräte zugreifen zu können. Eben nur übers CaptivePortal. Ich hatte da kurzzeitig das CP zum laufen gebracht mit einer Einfachen Konfig. Allerding hat dass nie Richtig fuktioniert.
    Die Sessions haben nie Automatisch nach abgelaufener Zeir ein Timeout gemacht, Man konnte fröhlich weitersurfen. Das wäre ja eigendlich nicht sinn der Sache Denke ich!
    Vielleicht hast Du dazu auch noch Input für mich.

    Ich hoffe ich konnte Dir die Antworten geben die Du brauchst.

    Grüsse
    funroli


  • Rebel Alliance Moderator

    Hi,

    Gemäss Provider Datasheet shiet es folgendermassen aus:
    Sie Sagen es seien 8 Fixe IPs Ich kann aber nur 4 Nutzen, warum auch immer.

    Nutzbare IP            81.202.58.114 - 81.202.58.118
    Netzwerkadresse    81.202.58.112
    Router IP                81.202.58.113
    Broadcast IP            81.202.58.119
    Subnet Maske          255.255.255.248

    Nameserver            195.186.1.162 / 195.186.4.162

    Kannst Du damit was Anfangen, resp. Beantwortet es Deine Frage, Wo gebe Ich all diese Daten in der PF an?

    Das ist logisch. Dir wurde der Bereich 81.202.58.112/29 geroutet. Der geht logisch gesehen von .112 bis 119. .112 ist aber das Netz selbst (beim Routing), .119 ist der Broadcast. Ergo nutzbar wären 6 IPs, die .113 bis .118. Da der Provider dir ja aber das Netz auch irgendwie reinschicken muss, hat er ein Gateway in dem Netz, die .113 (Router IP auch Default Router genannt). Das ist dein Gateway. Du kannst dann 5 Adressen: 114, 115, 116, 117, 118 nutzen, musst diese allerdings "auflegen", also auf dem Gerät bekannt machen. Sprich in deinem Fall:

    • WAN konfigurieren auf .114
    • Netzmaske ist /29
    • Default Gateway des WAN auf .113 (siehe oben)

    Damit ist das WAN dann static erstmal eingerichtet. Die weiteren Adressen legst du unter "Firewall / Virtual Alias" an und zwar als IfAlias (Alias IP), jeweils dann die .115 mit /29 als Netz Definition. Du hast dann 4 Aliase auf der Kiste definiert und die 5. Adresse als HauptIP. Danach kannst du die IPs fröhlich auf dem WAN nutzen oder per 1:1 NAT weiterschicken wie du möchtest :)

    Korrekt auf WAN1 Sollen 2 Namerserver Betrieben werden.
    Und natürlich wird in den RFC`s zu DNS selbstverständlich für Primary und Secondary vorgeschlagen die Nameserver jeweils in einem anderen Subnet zu Betreiben.
    Verboten oder nicht möglich ist es jedoch nicht. Denn hier geht es ja nur um die eigene Ausfallsicherheit einer Domain.

    Verboten ist es schon, allerdings nur bei manchen Registraren. Bspw. DeNIC lässt keine Registratur zu wenn beide DNSe im gleichen Subnetz stehen. Geht einfach nicht. Ist mitunter extrem nervend. Deshalb die Nachfrage.

    Das Verstehe ich nicht ganz! Welche IP muss ich denn für Outbound NAT nutzen und wo ist diese Einstellung zu machen

    Naja nach außen hin musst du eh NATten, denn du hast intern 2x /24er Netze (privat) die so nicht ins Internet können. Die bekommen abgehend dann logischerweise eine andere IP damit das Paket den Weg ins Internet antreten kann ;) Jetzt mit dem Cablecom Modem bspw. hat abgehend jeder Rechner hintendran die externe IP, die du von Cablecom bekommst. Andernfalls könnten die Server dir ja nicht antworten (an private IPs wird ja nicht geroutet). Genauso siehts dann logischerweise auch bei Swisscom aus. Die IP die du der pfSense gibst von den Fünfen wird standardmäßig automatisch abgehend als NAT verwendet (für Outbound NAT). Du kannst das aber genauer konfigurieren unter Firewall/NAT/Outbound wenn du dort von Automatic auf halbautomatisch gehst bzw. manuell einstellst. Dann werden die Standardregeln angezeigt/gespeichert und du kannst das weiter anpassen. Das ist aber nur für Traffic der raus geht. Hat nichts mit 1:1 NAT oder eingehendem Traffic zu tun.

    Und ja, die Outbound NAT Adresse ist die, die die Clients abgehend nutzen und die bei anderen Servern dann "gesehen" wird.

    Genau so soll es sein, Nur wo undWie Definiere ich das. Analog dann natürlich auch Bestimmend für Welche Clients dürfen über Welches Netz raus.

    In den Firewall Regeln. Du richtest auf dem LAN1/2 Regeln ein, wer wie wo wann warum ins Internet darf und kannst hier dann bei Advanced Options das Gateway spezifizieren. * / keine Einstellung bedeutet Standard, was dann nach Umstellung WAN1/WAN2 wahrscheinlich Swisscom wäre. Wenn du Gateway Gruppen angelegt hast (für Failover wenn ein WAN down ist), sind diese Gruppen hier als Gateway wählbar.

    Diese Gateway Geschichte und die Regeln ist mir auch noch nicht so klar. Gateway Bedeutet ja der Punkt über den Die Clients Rausgehen.
    Im Internen Lan ist das ja Die interne LAN IP der PF (Hat damit aber vermuttlich nichts zu Tun oder)

    Nein, das LAN Interface hat kein Gateway (und darf auch keins eingestellt haben im Normalfall). Wie oben gesagt, im Gesamtsystem hast du später 2 Gateways definiert. Einmal die statische Gegenstelle für Swisscom (also die .113 von oben), einmal die dynamische Gegenstelle von Cablecom. Das sind deine beiden Gateways (von WAN1/2). Hier kannst du jetzt noch FailoverGruppen drüber packen die bspw. folgendes tun:

    • Priorisiere WAN1 über WAN2
    • Wenn WAN1 down, nutze WAN2
    • Sobald WAN1 wieder da schwenke zurück

    Gleiches für WAN2. Oder du kannst sie gleichwertig betreiben, dann geht eine Verbindung mal über WAN1 und eine über WAN2, das wird dann versucht zu verteilen. Da du aber eher strikte Ordnung haben willst, wirst du wohl eher Failover Gruppen und keine Balancing Gruppen anlegen.

    Danach hast du 4 Gateways. Nämlich die beiden "echten" GW1/2 die zu WAN1/2 gehören und die beiden Failover Gruppen (die dynamisch zwischen WAN1/2 wie konfiguriert umschalten können). Die GW Gruppen sind jetzt in den Firewall Regeln unter Advanced/Gateway auch pro jeder Regel auswählbar.

    Hoffe das wird jetzt etwas klarer :)

    Grüße



  • Danke für Deine Ausführungen, es wird langsam alles klarer bei mir hier.

    Allerdings bleibt immer noch das CaptivePortal /WIFI Thema über.
    Hast Du da auch noch Infos bezüglich meines zweiten Freads oben?

    Grüsse Dich
    funroli


Log in to reply