Netgate SG-1000 microFirewall

Author Topic: Multi WAN & Load balancing - Verständnisfragen  (Read 187 times)

0 Members and 1 Guest are viewing this topic.

Offline cwt

  • Newbie
  • *
  • Posts: 16
  • Karma: +0/-0
    • View Profile
Multi WAN & Load balancing - Verständnisfragen
« on: February 03, 2018, 08:35:28 am »
Hi zusammen.

Ich habe ein neues pfSense System (2.4.2_1) aufgesetzt, an welchem 3x VDSL50 vom selben Carrier zur Verfügung stehen. An jedem VDSL-Anschluss hängt ein Vigor 130 im Bridge Mode.

Insgesamt hat das System 3x Intel Quad PT Server Adapter verbaut, 3 Ports davon für WAN (PPPoE).

Für jeden VDSL-Anschluss habe ich ein Interface als PPPoE konfiguriert (WAN1, WAN2 & WAN3). pfSense wählt sich auch brav ein, setzt den WAN1 als default.

Jetzt möchte ich folgendes Szenario konfigurieren, bin aber etwas verwirrt (kommt eigentlich selten vor  ;) ):

WAN1 und WAN2 sollen als Load Balancer fungieren. Hierzu gibt es diverse Anleitungen im Netz, die sich in der Vorgehensweise unterscheiden.

Bis jetzt habe ich 2 Gateway Groups erstellt:

- WANLoadBalancer (WAN1_PPPOE & WAN2_PPPOE als Gateways), beide mit Tier 1 als Prio
- WANLinkFailover (WAN1_PPPOE mit Tier 1, WAN2_PPPOE als Tier2)

In jedem Gateway habe ich IPs für das Monitoring eingetragen (8.8.8.8 für WAN1, 8.8.4.4 für WAN2 & 208.69.38.205 für WAN3)

Dazu folgende Einträge für LAN in der FW:

- Firewall Rule "WAN Loadbalance" (Action: Pass, Interface: LAN, IPv4, Protocol: Any, Source: LAN net, Gateway: "WANLoadBalancer")
- Firewall Rule "WAN failover" (Action: Pass, Interface: LAN, IPv4, Protocol: Any, Source: LAN net, Gateway: "WANLinkFailover")

Soweit läuft auch alles, zumindest was den reinen Internetzugang im LAN angeht.

Was mich nun konkret verwirrt:

- alle Gateways haben die gleiche IP und in der Übersichtsseite (mit oder ohne eingerichtetem Multi WAN) - bedingt durch den gleichen Carrier?
- ist das Multi WAN aktiviert, ändert sich der Status von WAN1 und WAN3 in der Übersichtsseite auf "Unknown" bzw. "Pending" (bei den Laufzeiten und Loss)

Muss zudem unter Services - Load Balancer noch zusätzlich etwas eingetragen werden?


Ein Link auf "Hier Du Depp - bestes FAQ zum Thema!" ist auch willkommen  ;D

Liebe Grüße und schönes WE!

Chris


« Last Edit: February 04, 2018, 05:28:49 am by cwt »

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3238
  • Karma: +211/-8
  • old man standing
    • View Profile
Re: Multi WAN & Load balancing - Verständnisfragen
« Reply #1 on: February 04, 2018, 02:24:05 pm »
> - Firewall Rule "WAN Loadbalance" (Action: Pass, Interface: LAN, IPv4, Protocol: Any, Source: LAN net, Gateway: "WANLoadBalancer")
> - Firewall Rule "WAN failover" (Action: Pass, Interface: LAN, IPv4, Protocol: Any, Source: LAN net, Gateway: "WANLinkFailover")

Hmm, die zweite Regel wird so nie matchen. Das ist eher notwendig, wenn du bestimmte Sachen Loadbalancen willst, und andere lieber nur Failovern aber dediziert über bspw. WAN1 machen willst wegen IP o.ä., ansonsten bringt es dir nichts, 2 Regeln mit any any zu machen, weil die erste der zweiten alles wegfrisst.

> - alle Gateways haben die gleiche IP und in der Übersichtsseite (mit oder ohne eingerichtetem Multi WAN) - bedingt durch den gleichen Carrier?

Könntest du uns das zeigen im Screenshot?

> - ist das Multi WAN aktiviert, ändert sich der Status von WAN1 und WAN3 in der Übersichtsseite auf "Unknown" bzw. "Pending" (bei den Laufzeiten und Loss)

Das Problem könnte der Carrier sein, wenn 3x DSL auf das gleiche DSLAM Gateway zeigen, könnte das ein Problem werden, weil das Gateway dann intern nicht auf einem Interface klar definiert ist. Ich kann mich daran dumpf erinnern, dass das ein Problem ist und nur dadurch gelöst werden kann, dass du nicht PPPoE Einwahl auf der Sense machst, sondern die Einwahl die 3 Kisten vornedran machen lässt und dir dann alles via exposed Host auf die Sense routen lässt und 3 eigene Transfernetze (192.168.1/2/3.0/24) machst damit das Routing saubere Gateways findet. Denn dein via DSL zugewiesenes GW kannst du eben nicht ändern ;)

Grüße
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline cwt

  • Newbie
  • *
  • Posts: 16
  • Karma: +0/-0
    • View Profile
Re: Multi WAN & Load balancing - Verständnisfragen
« Reply #2 on: February 05, 2018, 02:51:11 am »
Erst einmal vielen Dank für Deine Antworten.

Die FW-Regeln hatte ich aus einem HowTo übernommen und mich bereit gewundert bzw. geahnt, dass es nicht viel Sinn macht.

Hier ein Screenshot der Gateway-Einträge auf der Statusseite (die IPs sind natürlich nicht "echt"):



Ich werde das am kommenden WE mal probieren, die Einwahl über die Vigor 130 machen zu lassen.

Nochmal zu den Einstellungen Services -> Load Balancer: muss hier später denn noch separat etwas eingetragen werden? Oder reicht eine Definition in der FW?

Danke & LG

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3238
  • Karma: +211/-8
  • old man standing
    • View Profile
Re: Multi WAN & Load balancing - Verständnisfragen
« Reply #3 on: February 05, 2018, 10:03:37 am »
> Nochmal zu den Einstellungen Services -> Load Balancer: muss hier später denn noch separat etwas eingetragen werden? Oder reicht eine Definition in der FW?

Du verwechselst den Service Frontend LoadBalancer - wo es um einen echten Loadbalancing Proxy geht - mit der Funktion Loadbalancing für dein Multi-WAN Setup :) Das eine hat mit dem anderen nur marginal zu tun auch wenns gleich heißt. Der Service ist eher sowas wie ein generischer/abgespeckter Proxy. Dein MultiWAN Balancing etc. machst du alleine über die PBRs (Policy Based Routes) in den Regeln mit entsprechendem Gateway :)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline cwt

  • Newbie
  • *
  • Posts: 16
  • Karma: +0/-0
    • View Profile
Re: Multi WAN & Load balancing - Verständnisfragen
« Reply #4 on: February 12, 2018, 09:32:34 am »
Ich habe es am WE mal umgestellt und die Vigor übernehmen jetzt den Verbindungsaufbau nebst DynDNS, mit den Ports zur pfSense in der DMZ. Läuft soweit alles ok und auch das Load Balancing funktioniert mit WAN1&2 als Gateway-Group  ;)