MultiWAN mit Outbound Regeln bzw. Firewall Rules


  • Hallo Zusammen

    Brauche kurz ein wenig Gedankenstütze  :D

    Habe mehrere Vlans, mehrere öffentliche IPs und Outbound Regeln für die verschiedenen Vlans.

    Bedeutet VLAN1 geht über IP A ins Internet und VLAN2 über IP B.
    Bis hier funktioniert noch alles einwandfrei.

    Versuche jetzt noch Multi WAN mit Failover zu konfigurieren.
    Abgesehen von den Schnittstellen habe ich einen zusätzlichen Gateway hinzugefügt System > Routing und unter Groups den Failover aktiviert.

    Und jetzt kommt mein Problem bzw. ich habe keinen Druchblick.
    Unter NAT: Outbound habe ich die öffentliche IP vom ISP1 hinterlegt. Doch wenn der ISP down geht soll er eine Verbindung mit ISP2 herstellen.
    Brauche ich für jedes VLAN zwei Outbound Regeln (einmal ISP1 und einmal ISP2)?

    https://doc.pfsense.org/index.php/Multi-WAN
    Was mich auch verwirrt in diesem Dokument sind die Firewall Rules. Müsste ich bei jeder Firewall Regel die ins Internet zielt die Gateway Group angeben oder jegliche Rules?

    Vielen Dank für eure Hilfe

    Mit freundlichen Grüssen
    DarkMasta

  • LAYER 8 Moderator

    Ahoi,

    prinzipiell ist ein VLAN wie ein zusätzliches Interface zu behandeln. Ergo ist dafür sowohl eine ausgehende NAT Regel notwendig mit abgehender IP Definition. Zusätzlich natürlich eine Regel, was von diesem Interface nach wohin erlaubt ist. Hat man nur ein WAN und keine VIPs, ist das alles.
    Bei Multi-WAN wird das zweite WAN zusätzlich konfiguriert. Will also LAN/VLAN über zweites WAN nach draußen, braucht es auch eine zweite NAT Regel. Auch das wieder für jedes LAN, welches über das WAN ins Internet möchte. Um aber zu selektieren welcher Traffic via WAN1/2 läuft, braucht es Policy based Routing, welches via Filterregeln und Advanced Settings / Gateway abläuft. Legst du also jetzt eine Failover Gruppe an mit WAN1 (Master) / WAN2 (Slave), dann muss dieses GW auch bei jeder Regel definiert sein, auf die sie zutreffen soll. Wählst du statt dessen nichts aus (default / *) wird das WAN Default verwendet (meist WAN1) und sollte das Down sein, wird der Traffic nicht mehr fließen.

    Im simplen Fall müssen also auf VLAN10/20/30 je eine Regel:

    from VLAN10_net nach any allow any gateway <failover_group>definiert sein, damit es im Failover Fall auch über das zweite WAN läuft.

    Grüße</failover_group>


  • Also wenn ich das richtig verstehe muss ich folgendes konfigurieren:

    System: Gateway
    1. Gateway von ISP 1
    2. Gateway von ISP 2 (z.B. PPPoe daher dynamic)

    System: Gateway Groups
    "WAN_Failover" konfigurieren

    Interfaces
    Interface WAN1: Öffentliche IP
    Interface WAN2: PPPoe Login Daten

    Auf den Interfaces dürfen keine Gateways hinterlegt sein oder?

    NAT Outbound
    LAN1 zu NAT Adress WAN1
    LAN1 zu NAT Adress WAN2
    LAN2 zu NAT Adress WAN1
    LAN2 zu NAT Adress WAN2
    LAN3 zu NAT Adress WAN1
    LAN3 zu NAT Adress WAN2

    Beachten das  die Leitung bzw. WAN2 immer nach WAN1 kommt nehme ich an? Da es von oben nach unten abarbeitet oder?

    Firewall Rules
    Regeln die als Internet zielen brauchen jetzt unter Advanced features -> Gateway den "WAN_Failover"?
    z.B. IPv4* VLAN1 * * * WANFailover none

    JeGr habe ich dich damit richtig verstanden? =)

    Vielen Dank

    Gruss DarkMasta

  • LAYER 8 Moderator

    Bei den WAN Interfaces muss natürlich ein Gateway rein. Bei PPPoE wird das automisch eingetragen, bei der Verbindung, weil es ja dynamisch ist. Bei WAN1 weiß ich nicht, wie dir das zur Verfügung gestellt wird, aber bei normalem IP Gedöns, entweder per DHCP (dann bekommst du das Gateway wieder automatisch) oder du hast ne statische IP dann müsste dir auch ein GW mitgeteilt werden :)

    Ansonsten sieht es auf den ersten Blick richtig aus.