Verbindung mehrerer pfSense-Router
-
Hallo,
Wir möchten insgesamt 3 Gebäude bzw. deren Netzwerke miteinander verbinden, in denen wir seit Jahren pfSense Router mit PCEngines-Boards verwenden (Ausnahme:Gebäude 2, das kommt noch).
In derzeit 2 Gebäuden, später in allen 3, sind pfSense- Router vorhanden. Zwei Standorte haben je ein eigenes Satelliten-Modem für den Internetzugang. Alle 3 Gebäude sind sied kurzem mit Richtfunkverbindungen miteinander verbunden, über die der interne Datenverkehr abgewickelt werden soll.
Hier mal eine schematische Darstellung des Setups:Da wir im "Nicht-DSL-Gebiet" wohnen, haben wir die "Besonderheit" der Satelliten-Modems als Internetzugang. Satmodem 1 und 2 sind allerdings zwei unterschiedliche Systeme. Das hat den Hintergrund, dass bei Satmodem 1 eine öffentliche IP verfügbar ist, dafür Probleme mit SIP/VoIP bestehen. Satmodem 2 bietet eine höhere Geschwindigkeit bei einer echten (!) Flatrate ohne Volumenbeschränkung, aber es gibt keine öffentliche IP.
In Gebäude 2 exsitiert derzeit nur RF2AP, RF1ST und Switch 2.1 (ein einfacher/ unmanaged 5-Port-GBit-Switch). Ist also derzeit nur eine Relaisstation, da eine Direktverbindung zwischen Gebäude 1 und 3 nicht möglich ist. Der Rest soll nach und nach aufgebaut werden. Es kann dann auch, wenn das besser ist, die FW2 direkt an die Richtfunk- Geräte angeschlossen werden.
Switch 1 und 3 sind Smartswitches mit allen möglichen Diensten (VLAN usw.), die konfiguriert werden können. Ebenso sind die Richtfunkgeräte und die Askozia/ Asterisk-Anlagen VLan fähig und die Telefonanlagen haben 3 unabhängige LAN-Ports.
Was wollen wir tun?
1. Geräte/ Computer in den verschiedenen Gebäuden sollen auf die Dienste/ Computer in den jeweils anderen Gebäuden Zugriff haben. Die Dienste sollen allerdings selektiv freigegeben werden können! Es soll nicht jeder auf alles in allen 3 Netzwerken Zugriff haben!
2. Die Telefonanlagen sollen priorisiert über Richtfunk miteinander komunizieren (Askozia 3 soll die SIP-Verbindungen von Askozia 1 mit verwenden, wenn das ISDN nach Gewitter ausfällt usw. -> ist aber dann eine andere Aufgabe für den Askozia-Support, hier steht der Prioritäts-Kanal im Vordergrund!).
3. Gebäude 3 soll sowohl Satmodem 1 als auch 2 parallel für den Internetzugang nutzen, sofern Satmodem 2 gerade im Leerlauf ist.
4. Alle anderen (Gebäude 1, 2 und die Richtfunk-Geräte) sollen über Satmodem 2 ins Internet. Bei Ausfall von Modem 2 soll als Failsafe/-over das Satmodem 1 verwendet werden.
5. Da wir beim Updaten einer Spezialsoftware auf einem Labtop in Gebäude 3 immer wieder Probleme haben, aber das Update über Satmodem 2 funktioniert, soll der Labtop immer von Gebäude 3 ausschließlich über Satmodem 2 ins Internet gehen.
Was funktioniert schon?
1. FW1 und 3 sind so eingerichtet, dass voller Zugriff, ohne Einschränkung der Dienste, vom Subnet 192.168.2.0/24 in Gebäude 1 auf Subnet 192.168.3.0/24 in Gebäude 3 und umgekehrt besteht. Dabei habe ich der LAN-Schnittstelle RF2 in FW1 als Gateway RF2St (192.168.1.23) zugeordnet und eine statische Route auf "192.168.3.0/24" gesetzt. An FW3 ist RF1AP (192.168.1.20) ald Gateway an RF1 (192.168.1.19) und eine statische Route mit "192.168.2.0/24" festgelegt. Damit ist eine ungehinderte interne Kommunikation möglich.
2. Wenn ich das Gateway an Schnittstelle RF2 in FW1 entferne und in FW3 das "Default Gateway" von WAN auf Rf1 setze, dann kann von Gebäude 3 aus über FW1 und Satmodem 2 das Internet erreicht werden. Leider ist dann weder das interne 192.168.3.0/24'er von Gebäude 1 erreichbar, noch umgekehrt. Allerdings können dann die Richtfunkgeräte über FW1 und Satmodem 2 in Internet (Firmwareupdate). Bei der 1. funktionierenden Variante könne die Richtfunkgeräte ihren Updateserver nicht erreichen. Ich vemute das würde auch PC's in Gebäude 2 so gehen.
Wie soll ich nun vorgehen, um die angestrebten Funktionen zu erreichen?
1. Sind VLAN's die richtige Lösung? Welche muss ich einrichten?
2. Wie kann ich den Ausfall/ Überlastung der Internetverbindungen erkennen und automatisch die richtige (Failsafe-/Loadbalance-)Internetverbindung wählen (Satmodem 2 hat nur eine IP und pfSense erkennt automatisch z.B. die Latenzzeit; Satmodem 1 hat einen eigenen internen NAT-Router mit 2 IP's (eine öffentliche für die pfSense und eine eigene => z.B. Latenz liegt zwischen 1-2ms obwohl die "Air"-Latenz ca. 700ms sind und auch der Kontakt abbrechen kann und die pfSense immer noch zwischen 1-2ms anzeigt!)?Wäre schön, wenn ihr ein paar Tipps geben könntet…..
MfG
SNR