Dual Wan & Dual ISP Projekt



  • Hallo Zusammen

    Habe momentan 2 pfsense mit pfync und Carp Interface auf der LAN Seite, funktioniert eigentlich "fast" alles einwandfrei.  ;D
    ISP 1 ist für den Internet Traffic bzw. alles.
    ISP 2 ist nur für die DNS Auflösung von Aussen

    Jetzt stehe ich vor dem nächsten Projekt.
    Ist es möglich das ISP 1 ein CARP Interface bekommt auf der pfsense und ISP2 als Failover agiert? Er müsste aber weiterhin als DNS Server agieren können?
    Bedeutet es darf nicht auf Standby gehen sondern muss immer aktiv sein und nur bei Aussfall von ISP1 müsste aller Traffic über ISP2 gehen.

    Ich habe bei ISP 1 und ISP 2 unterschiedliche öffentliche IPs

    Ich hoffe ich konnte das einigermaßen Verständlich erklären.

    Bin auch offen für bessere Netzwerk Konstruktionen.  ;)

    Gruss DarkMasta


  • Moderator

    Ich hoffe ich konnte das einigermaßen Verständlich erklären.
    Nicht so ganz ;)

    Ist es möglich das ISP 1 ein CARP Interface bekommt auf der pfsense und ISP2 als Failover agiert?
    Du bist dir sicher, dass du CARP meinst? Inwiefern willst du bei ISP1 CARP nutzen, bringt der dir 2 gleichbeschaltete Leitungen? Und was hat ISP2 damit zu tun?

    Grüße



  • Nicht so ganz ;)
    Habe ich mir fast gedacht, wusste einfach nicht wie ich es erklären soll.

    Versuche jetzt das Projekt Schritt für Schritt zu erklären bzw. durchzuführen :)

    pfsense1 WAN: 192.168.1.5 /24
    pfsense2 WAN: 192.168.1.6 /24

    Neue Virtual IP erstellt:
    CARP WAN (VHID Group 11): 192.168.1.9 /24

    Ping auf das neue CARP WAN Interface von der WAN Seite funktioniert einwandfrei.
    Momentan kann ich die Firewalls über die WAN Schnittstellen verwalten, leider gilt das nicht für die neue CARP WAN Adresse.
    Sollte nicht jetzt auf https://192.168.1.9 die MASTER Firewall angezeigt werden?

    Vielen Dank für eure Hilfe


  • Moderator

    Hi DarkMasta,

    ja das sollte angezeigt werden, allerdings nur, wenn du die IP auch freigegeben hast. Die Standardregel heißt ja "Interface Address" und damit ist die CARP IP nicht enthalten. Hast du die CARP VIP explizit per Regel freigegeben?

    Grüße



  • Hallo Zusammen

    Ahh Carp IP sind nicht gleich WAN addresse, wieder was gelernt.
    Habe jetzt die Regel auf WANnet gestellt und alles funktioniert  :)
    Danke JeGr

    Jetzt habe ich einen Failover für die physischen pfsense Firwalls.
    Wenn mir aber der ISP temporär den Dienst kündigt würde mir das nicht helfen.

    Daher habe ich jetzt auf der Firewall 1 einen weiteren Port aktiviert.
    WAN2: 172.16.0.100 / 16 mit dem passenden Gateway.

    Die DNS wurden auch angepasst
    8.8.8.8 = GW1
    8.8.4.4 = GW2

    Gateway Group erstellt
    WAN1: Tier 1
    WAN2: Tier 2
    Trigger Level auf Member Down
    Die Überlegung auf Member Down ist das es der 2. ISP mir eine sehr kleine Leitung gegeben hat und ich wegen einem fehlenden Paket nicht alles gleich auf den 2. ISP switchen will…daher "Member down" (Notbetrieb)

    Das sollte mir einen Failover für den ISP geben oder?
    Habe Test-halber einen ping auf 8.8.8.8 gesetzt und das Kabel von WAN1 gezogen und der Client hat nach einem fehlenden ping wieder fröhlich an weiter gepingt  ;D

    Gruss DarkMasta

    edit: Kann es sein das noch zusätzliche Firewall Rules auf diese neue Gateway Group zielen müssen?