The pfSense Store

Author Topic: [solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP  (Read 249 times)

0 Members and 1 Guest are viewing this topic.

Offline nobanzai

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
[solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« on: December 04, 2017, 06:36:29 am »
Hi *,

ich habe hier
- zwei Fritzboxen - eine 6490 Cable und eine 7580 VDSL mit den jeweiligen Internet-Verbindungen dahinter
- zwei pfSense Router (V 2.4.2)
- funktionsfähiges MultiWAN mittels zweier Routing-Gruppen
- funktionsfähiges pfSync über ein eigenes IF
- funktionsfähiges CARP für ausgehende Verbindungen über eine VirtualIP auf den LAN-IFs
- funktionsfähige eingehende Verbindungen ohne CARP (d.h. nix geht mehr eingehend bei Ausfall eines der pfSense)

Was fehlt:
- funktionsfähiges CARP für eingehende Verbindungen über eine VirtualIP auf den WAN-IFs

Ich habe auch für die beiden WAN-IFs der pfSense Router eine VirtualIP vergeben, aber irgendwie kriegen die Fritzboxen das überhaupt nicht hin und fangen an richtiggehend rumzuspinnen.
Wie es aussieht, haben die ein Problem damit, dass sie für eine IP auf einmal zwei MACs bekommen.

Daher:
- Ich habe jetzt je zwei Einträge in den Netzverbindungen der Fritzboxen - beide haben dieselbe IP, aber verschiedene MACs.
- Ich kann die IP in dem Eintrag mit der "virtuellen" MAC nicht auf die virtuelle IP ändern.
- Die Anzeige der einzelnen pfSense-Router in den Netzwerkverbindungen hüpft ständig zwischen den beiden Einträgen hin und her.
- Ich kann die Portfreigaben nicht auf die virtuelle WAN-IP setzen.
- Damit funktioneren meine eingehenden Verbindungen nicht mehr.

Habe ich da irgendwo irgendwas vergessen oder kommen die Fritzboxen damit einfach nicht klar?

Danke für eure Hinweise!

Ciao.
Michael.
« Last Edit: December 05, 2017, 04:25:33 pm by nobanzai »

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3117
  • Karma: +201/-7
  • old man standing
    • View Profile
Re: zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #1 on: December 04, 2017, 06:40:56 am »
> dass sie für eine IP auf einmal zwei MACs bekommen.

Das tun sie auch nicht! Das ist nicht die Funktion von CARP. Die virtuelle IP hat eine virtuelle MAC Adresse.

Das hört sich gerade eher so an, als wäre das ggf. was falsch konfiguriert, allerdings hast du ja leider nicht so wirklich beschrieben, was du wie wo warum angeschlossen und konfiguriert hast :)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline nobanzai

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #2 on: December 04, 2017, 07:09:35 am »
Hi,

danke für deine Antwort.

> dass sie für eine IP auf einmal zwei MACs bekommen.

Das tun sie auch nicht! Das ist nicht die Funktion von CARP. Die virtuelle IP hat eine virtuelle MAC Adresse.

Das hört sich gerade eher so an, als wäre das ggf. was falsch konfiguriert, allerdings hast du ja leider nicht so wirklich beschrieben, was du wie wo warum angeschlossen und konfiguriert hast :)

Die Fritzboxen glauben zumindest, dass sie für eine IP zwei MACs bekommen - sie zeigen das beide auch so an.
Das Anschlussschema sieht so aus:

Fritzbox 6490 (192.168.8.254) - LAN1 - pfSense1 - Opt2 (192.168.8.2) \
                                         - LAN2 - pfSense2 - Opt2 (192.168.8.3)  \
                                                                                                          Virtual IPs für CARP 192.168.[8|9].5
Fritzbox 7580 (192.168.9.254) - LAN3 - pfSense1 - Opt1 (192.168.9.2)  /
                                         - LAN4 - pfSense2 - Opt1 (192.168.9.3) /

Logisch ist Opt1 als "CABLE" benannt und Opt2 als "VDSL".

Ciao.
Michael.

Offline bahsig

  • Jr. Member
  • **
  • Posts: 54
  • Karma: +0/-0
    • View Profile
Re: zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #3 on: December 04, 2017, 08:29:30 am »
hi,

wenn du carp nutzt, ist eine sense immer im hot standby (carp backup/slave). der carp master macht die ganze arbeit. fällt der master aus, springt der slave ein.

was willst du denn eigentlich erreichen? multiwan loadbalancing? ha cluster?

konnte das nicht so aus herauslesen ;-)

gruß

Offline nobanzai

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #4 on: December 04, 2017, 08:51:26 am »
Hi,

hatte ich im ersten Posting beschrieben. Es funktioniert ja alles prinzipiell bis auf eingehenden Traffic, der nach meiner Idee per Portforwarding an die pfSensen gehen soll - und zwar an den jeweiligen Master. Und dafür hatte ich die CARP-IP eingerichtet in der Hoffnung, genau die nutzen zu können, um darauf das Portforwarding zu richten.
Klar ist, dass man von außen beide Fritzbox-Adressen kennen muss, um beim Ausfall der einen rein zu kommen, aber das ist nicht das Problem. Also von außen soll es kein Loadbalancing oder automatisches Failover für die Fritzboxen geben - erst ab den pfSensen.

Ciao.
Michael.

Offline bahsig

  • Jr. Member
  • **
  • Posts: 54
  • Karma: +0/-0
    • View Profile
Re: zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #5 on: December 04, 2017, 04:10:03 pm »
also, carp funktioniert nur mit einem master und einem slave. im prinzip richtest du auf einer sense 2 gateways ein. fällt der master aus, springt der slave ein. das carp vib kann nur auf einer sense aktiv sein, da du sonst im netz die sepbe ip 2x hast, was zu fehlern führt.

eine saubere ha multiwan konfiguration sieht so aus.

- fb1 x.x.8.254
- fb2 x.x.9.254

- pf1 hat folgende interfaces: wan (wan1), lan, opt1 (wan2), opt2 (sync), ggf. opt3 (dmz)
- wan1 x.x.8.2 mit gateway x.x.8.254
- wan2 x.x.9.2 mit gateway x.x.9.254
- lan ohne gateway

config pf1:
carp auf wan1 x.x.8.1, als exposed host auf fb1
carp auf wan2 x.x.9.1, als exposed host auf fb2
carp auf lan, diese ip ist dein standardgateway im lan.

jetzt kannst du nat und die firewallregeln pro wan einrichten

gateway groups erstellen

config pf2:
sämtliche einstellungen werden per sync auf die pf2 übertragen

mit dieser konfiguration (nutze ich auch) hast du kein problem mit doppelten ip und mac adressen.

gruß

Offline nobanzai

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #6 on: December 05, 2017, 11:32:56 am »
Hi,

also, carp funktioniert nur mit einem master und einem slave. im prinzip richtest du auf einer sense 2 gateways ein. fällt der master aus, springt der slave ein. das carp vib kann nur auf einer sense aktiv sein, da du sonst im netz die sepbe ip 2x hast, was zu fehlern führt.

Ja, aber genau das habe ich ja.
Die beiden pfSense-Router haben 8.2 und 8.3, die Fritzbox hat 8.254 und das CARP-IF hat 8.5.
Bei CARP muss ich ja auf dem realen IF schon eine IP aus demselben Subnetz haben.
Und ja, das CARP-IF ist immer nur auf einem pfSense aktiv.

Exakt so funktioniert das auf der LAN-Seite mit dem 7er Subnetz.

Deswegen verstehe ich auch nicht, warum es auf der WAN-Seite nicht genauso klappen will.

eine saubere ha multiwan konfiguration sieht so aus.

- fb1 x.x.8.254
- fb2 x.x.9.254

- pf1 hat folgende interfaces: wan (wan1), lan, opt1 (wan2), opt2 (sync), ggf. opt3 (dmz)
- wan1 x.x.8.2 mit gateway x.x.8.254
- wan2 x.x.9.2 mit gateway x.x.9.254
- lan ohne Gateway

Jepp, ist so.

config pf1:
carp auf wan1 x.x.8.1, als exposed host auf fb1
carp auf wan2 x.x.9.1, als exposed host auf fb2
carp auf lan, diese ip ist dein standardgateway im lan.

"exposed host"?
Das habe ich auf keiner der beiden Fritzboxen als Einstellung gesehen!?!?

jetzt kannst du nat und die firewallregeln pro wan einrichten

gateway groups erstellen

Firewallregeln und Gateway Groups existieren schon.
Das Einzige, was ich noch erreichen muss, ist dass die Fritzboxen die virtuelle IP überhaupt sehen.
Sonst kann ich darauf keine Portfreigaben einrichten.

config pf2:
sämtliche einstellungen werden per sync auf die pf2 übertragen

Das Übertragen der Einstellungen läuft über das CARP-IF auf der LAN-Seite.
Das klappt auch ohne Probleme.

mit dieser konfiguration (nutze ich auch) hast du kein problem mit doppelten ip und mac adressen.

gruß

Irgendwie habe ich mich wohl komisch ausgedrückt.
Nur die Fritzboxen sehen überhaupt diesen seltsamen Mischmasch - eine IP mit zwei MACs, zwei Namen mit derselben IP usw.
Kein anderes Gerät, das ich in dieses Subnetz hänge, hat das Problem.
Von einem Notebook im 192.168.8er Subnetz kann ich auch die virtuelle IP 192.168.8.5 problemlos erreichen.

Irgendwo habe ich vermutlich einen Knoten im Kopf 8-(

Danke und ciao.
Michael.

Offline nobanzai

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: [solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #7 on: December 05, 2017, 04:30:25 pm »
Ok, Problem gelöst.
  • Man gebe einen Sch... auf die Anzeigen von Heimnetzübersicht und Netzverbindungen der Fritzboxen, sondern gebe bei den Port-Forwardings gnadenlos die gewünschte IP des Rechners ein, auf den geforwardet werden soll.
  • Man sollte nicht vergessen, bei den Firewallregeln von "WAN address" auf die CARP-Adresse umzustellen  :(

Danke an alle, die mitgelesen und Tips gegeben haben!

Ciao.
Michael.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3117
  • Karma: +201/-7
  • old man standing
    • View Profile
Re: [solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #8 on: December 06, 2017, 06:06:10 am »
Hallo Michael,

habe ich nun gestern auch live bei einem Kunden gesehen. Die Heimnetzübersicht schwankt da die ganze Zeit in der Ansicht zwischen der CARP VIP und der Interface Adresse hin und her. Im Prinzip aber wie du festgestellt hast völlig egal, es zählt das, was in der Freigabe der Box eingerichtet ist und wenn man hier nicht irgendeinen internen Namen der Box sondern einfach hart die CARP VIP angibt, reicht die FB das auch an die IP durch, selbst wenn sie selbst in der Anzeige irgendwelchen Quark erzählen will :)

Ergo: exposed Host Setting in den Internet Freigaben auf die richtige IP setzen und es läuft. ;)

Gruß
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline nobanzai

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: [solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #9 on: December 06, 2017, 06:27:21 am »
Hallo Michael,

habe ich nun gestern auch live bei einem Kunden gesehen. Die Heimnetzübersicht schwankt da die ganze Zeit in der Ansicht zwischen der CARP VIP und der Interface Adresse hin und her. Im Prinzip aber wie du festgestellt hast völlig egal, es zählt das, was in der Freigabe der Box eingerichtet ist und wenn man hier nicht irgendeinen internen Namen der Box sondern einfach hart die CARP VIP angibt, reicht die FB das auch an die IP durch, selbst wenn sie selbst in der Anzeige irgendwelchen Quark erzählen will :)

Ergo: exposed Host Setting in den Internet Freigaben auf die richtige IP setzen und es läuft. ;)

Gruß

Allerdings haben wohl alle Fritzboxen noch ein Problem, an dem AVM gerade dran ist:
Sie sind nicht in der Lage, Portforwarding auf eine IP außerhalb ihres eigenen Subnets zu machen.
Das Problem habe ich nicht, weil meine IP im selben Netz liegt, aber das könnte dem einen oder anderen schon zu schaffen machen.

Siehe https://avm.de/service/fritzbox/fritzbox-7580/wissensdatenbank/publication/show/3298_FRITZ-Box-meldet-Die-IP-Adresse-ist-nicht-verfuegbar/
-------------------------
2 IP-Adresse liegt in anderem IP-Netzwerk (Subnetz)

Durch einen Fehler in FRITZ!OS können in der FRITZ!Box keine Portfreigaben für Geräte angelegt werden, die sich in einem nachgeschalteten IP-Netzwerk (Subnetz) befinden, z.B. im IP-Netzwerk eines mit der FRITZ!Box verbundenen, zusätzlichen Routers.

Wir arbeiten an einer Lösung und werden diese so schnell wie möglich in einem FRITZ!OS-Update für die FRITZ!Box bereitstellen. Einen Termin für das Update können wir noch nicht nennen.
--------------------------

Ciao.
Michael.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3117
  • Karma: +201/-7
  • old man standing
    • View Profile
Re: [solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #10 on: December 07, 2017, 08:25:38 am »
> Sie sind nicht in der Lage, Portforwarding auf eine IP außerhalb ihres eigenen Subnets zu machen.

Das ist ja generell ein Routing Problem. Dein Routing Ziel kann nie außerhalb deines Netzes liegen, sonst weiß das Paket ja nicht wie es da hin kommen soll? Oder verstehe ich deren KB Eintrag nicht? Oder ist damit gemeint _trotz geroutetem nachgestellten Netz_ kann sie das nicht, weil sie die Routen nicht akzeptiert? Das würde dann Sinn machen.

Leider hat die FB mehrere solche Probleme, wie bspw. auch Traffic an ein weitergereichtes IPv6 Netz zu routen :( DAS wäre wichtiger, wenn der Paketfilter dort endlich mal abschaltbar wäre...

Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline nobanzai

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: [solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #11 on: December 07, 2017, 04:04:58 pm »
> Sie sind nicht in der Lage, Portforwarding auf eine IP außerhalb ihres eigenen Subnets zu machen.

Das ist ja generell ein Routing Problem. Dein Routing Ziel kann nie außerhalb deines Netzes liegen, sonst weiß das Paket ja nicht wie es da hin kommen soll? Oder verstehe ich deren KB Eintrag nicht? Oder ist damit gemeint _trotz geroutetem nachgestellten Netz_ kann sie das nicht, weil sie die Routen nicht akzeptiert? Das würde dann Sinn machen.
Ja, das ist wohl gemeint - alles andere würde ja auch wirklich keinen Sinn machen, wie du schon sagst.

Leider hat die FB mehrere solche Probleme, wie bspw. auch Traffic an ein weitergereichtes IPv6 Netz zu routen :( DAS wäre wichtiger, wenn der Paketfilter dort endlich mal abschaltbar wäre...
Ui, das ist mir noch nicht mal aufgefallen bisher 8-(

Ciao.
Michael.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3117
  • Karma: +201/-7
  • old man standing
    • View Profile
Re: [solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #12 on: December 08, 2017, 02:41:58 am »
> Ui, das ist mir noch nicht mal aufgefallen bisher 8-(

Ist wohl leider immer noch so. Ich hatte das erst vor 2 Wochen selbst bei unserer Labor 6490 Cable versucht, endlich v6 durchzurouten. Positiv: man bekommt es endlich recht gut hin, dass man ein /64er auf jedem Interface Bein abbekommen hat (WAN bekommt ein /64, nutzt aber zum routen die fe80, LAN, TEST, TEST2 bekamen alle durch ID 0, 9, f und Track Interface dann eigene Netze).
Die schlechte Geschichte war dann: abgehend klappt der ganze Kram, aber eingehend kann man sich zu Tode grützen, denn die nachgelagerten Netze werden im IP Filter der Fritzbox einfach nicht durchgelassen. Man muss wirklich MANUELL jedes einzelne Host Suffix eintragen. Erst nachdem ich den 64 Bit Host Teil der IP6 von einem Testsystem zur Freigabe in der Fritzbox eingetragen habe, konnte man von außen halbwegs die v6 Strecke pingen. Und ich habe nur begrenzt bis gar keine Lust, jedes einzelne Gerät, dass potentiell eine v6 erhalten kann jedes Mal in der Fritzbox "quasi" anzumelden. :( Es fehlt die Möglichkeit einfach ein gesamtes Netz/Prefix freizugeben bzw. durchzurouten. :(
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline nobanzai

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: [solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« Reply #13 on: December 08, 2017, 01:44:46 pm »
> Ui, das ist mir noch nicht mal aufgefallen bisher 8-(

Ist wohl leider immer noch so. Ich hatte das erst vor 2 Wochen selbst bei unserer Labor 6490 Cable versucht, endlich v6 durchzurouten. Positiv: man bekommt es endlich recht gut hin, dass man ein /64er auf jedem Interface Bein abbekommen hat (WAN bekommt ein /64, nutzt aber zum routen die fe80, LAN, TEST, TEST2 bekamen alle durch ID 0, 9, f und Track Interface dann eigene Netze).
Die schlechte Geschichte war dann: abgehend klappt der ganze Kram, aber eingehend kann man sich zu Tode grützen, denn die nachgelagerten Netze werden im IP Filter der Fritzbox einfach nicht durchgelassen. Man muss wirklich MANUELL jedes einzelne Host Suffix eintragen. Erst nachdem ich den 64 Bit Host Teil der IP6 von einem Testsystem zur Freigabe in der Fritzbox eingetragen habe, konnte man von außen halbwegs die v6 Strecke pingen. Und ich habe nur begrenzt bis gar keine Lust, jedes einzelne Gerät, dass potentiell eine v6 erhalten kann jedes Mal in der Fritzbox "quasi" anzumelden. :( Es fehlt die Möglichkeit einfach ein gesamtes Netz/Prefix freizugeben bzw. durchzurouten. :(

Gut zu wissen - danke für die Info.
Da kann man sich schon mal totsuchen 8-<

Ciao.
Michael.