Dual Wan & Dual ISP Projekt
-
Hallo Zusammen
Habe momentan 2 pfsense mit pfync und Carp Interface auf der LAN Seite, funktioniert eigentlich "fast" alles einwandfrei. ;D
ISP 1 ist für den Internet Traffic bzw. alles.
ISP 2 ist nur für die DNS Auflösung von AussenJetzt stehe ich vor dem nächsten Projekt.
Ist es möglich das ISP 1 ein CARP Interface bekommt auf der pfsense und ISP2 als Failover agiert? Er müsste aber weiterhin als DNS Server agieren können?
Bedeutet es darf nicht auf Standby gehen sondern muss immer aktiv sein und nur bei Aussfall von ISP1 müsste aller Traffic über ISP2 gehen.Ich habe bei ISP 1 und ISP 2 unterschiedliche öffentliche IPs
Ich hoffe ich konnte das einigermaßen Verständlich erklären.
Bin auch offen für bessere Netzwerk Konstruktionen. ;)
Gruss DarkMasta
-
Ich hoffe ich konnte das einigermaßen Verständlich erklären.
Nicht so ganz ;)Ist es möglich das ISP 1 ein CARP Interface bekommt auf der pfsense und ISP2 als Failover agiert?
Du bist dir sicher, dass du CARP meinst? Inwiefern willst du bei ISP1 CARP nutzen, bringt der dir 2 gleichbeschaltete Leitungen? Und was hat ISP2 damit zu tun?Grüße
-
Nicht so ganz ;)
Habe ich mir fast gedacht, wusste einfach nicht wie ich es erklären soll.Versuche jetzt das Projekt Schritt für Schritt zu erklären bzw. durchzuführen :)
pfsense1 WAN: 192.168.1.5 /24
pfsense2 WAN: 192.168.1.6 /24Neue Virtual IP erstellt:
CARP WAN (VHID Group 11): 192.168.1.9 /24Ping auf das neue CARP WAN Interface von der WAN Seite funktioniert einwandfrei.
Momentan kann ich die Firewalls über die WAN Schnittstellen verwalten, leider gilt das nicht für die neue CARP WAN Adresse.
Sollte nicht jetzt auf https://192.168.1.9 die MASTER Firewall angezeigt werden?Vielen Dank für eure Hilfe
-
Hi DarkMasta,
ja das sollte angezeigt werden, allerdings nur, wenn du die IP auch freigegeben hast. Die Standardregel heißt ja "Interface Address" und damit ist die CARP IP nicht enthalten. Hast du die CARP VIP explizit per Regel freigegeben?
Grüße
-
Hallo Zusammen
Ahh Carp IP sind nicht gleich WAN addresse, wieder was gelernt.
Habe jetzt die Regel auf WANnet gestellt und alles funktioniert :)
Danke JeGrJetzt habe ich einen Failover für die physischen pfsense Firwalls.
Wenn mir aber der ISP temporär den Dienst kündigt würde mir das nicht helfen.Daher habe ich jetzt auf der Firewall 1 einen weiteren Port aktiviert.
WAN2: 172.16.0.100 / 16 mit dem passenden Gateway.Die DNS wurden auch angepasst
8.8.8.8 = GW1
8.8.4.4 = GW2Gateway Group erstellt
WAN1: Tier 1
WAN2: Tier 2
Trigger Level auf Member Down
Die Überlegung auf Member Down ist das es der 2. ISP mir eine sehr kleine Leitung gegeben hat und ich wegen einem fehlenden Paket nicht alles gleich auf den 2. ISP switchen will…daher "Member down" (Notbetrieb)Das sollte mir einen Failover für den ISP geben oder?
Habe Test-halber einen ping auf 8.8.8.8 gesetzt und das Kabel von WAN1 gezogen und der Client hat nach einem fehlenden ping wieder fröhlich an weiter gepingt ;DGruss DarkMasta
edit: Kann es sein das noch zusätzliche Firewall Rules auf diese neue Gateway Group zielen müssen?