OPNsense Forum
International Forums => German - Deutsch => Topic started by: beclar2 on February 04, 2021, 08:07:47 am
-
Guten Morgen,
ich bin Homeschooling- und Homeoffice-geplagter Familienvater und habe eine Verständnisfrage zur Einrichtung von Multi-WAN (unsere Internet-Anbindung soll redundant laufen, vorhanden sind Kabel-Internet und als Failover-Backup eine LTE/G5-Anbindung über einen LTE-Router).
Konkret: Braucht man für ein simples Failover zwischen zwei WAN-Upstream-Gateways eine Gateway-Group? Reicht es nicht aus, wenn man den Upstream-Gateways unterschiedliche Priority-Werte zuweist (niedriger = bevorzugt bei der Auswahl als Default-Gateway) und unter Settings - General die Option "Allow default gateway switching" aktiviert? Nach meinen Verständnis müsste das Default-Gateway dann bei einem Ausfall automatisch auf das andere Upstream-Gateway gesetzt werden.
Meine Ausgangslage: Zwei WAN-Anschlüsse (Kabel und LTE-Router) = zwei separate Upstream-Gateways, für die ein Failover eingerichtet werden soll. Wenn der Kabelanschluss ausfällt, soll sämtlicher ausgehender Traffic über den LTE-Router geleitet werden. Wenn der Kabelanschluss wieder läuft (Gateway Monitoring geht wieder auf online), soll dieser wieder als Default Upstream genutzt werden.
Für beide WAN-Anschlüsse ist jeweils ein Upstream-Gateway eingerichtet, und zwar für Kabel-WAN mit einer Priorität von 254 (niedriger = bevorzugter bei der Auswahl als Default-Gateway) und für das LTE-WAN mit 255 (höher = nachrangig gegenüber Kabel-WAN bei der Auswahl als Default-Gateway). Außerdem ist "Allow default gateway switching" aktiviert.
Das offizielle Tutorial empfiehlt für ein Multiwan-Failover die Einrichtung einer Gateway-Group mit unterschiedlicher Gewichtung der Upstream-Gateways als Tier 1, Tier 2 und die Anpassung der Firewall-Rules, damit der Traffic über die Gateway-Group gelenkt wird.
Ist das überhaupt nötig? Oder kann man für ein bloßes Failover-Setup nicht die Firewall-Rules so belassen, dass jeweils das Default Gateway (also *) genutzt wird? Denn eigentlich müsste doch schon über die Option "Allow default gateway switching" das Default Upstream-Gateway passend gesetzt werden, wenn es bei zwei Upstream-Gateways zu einem Ausfall kommt. Die Auswahl des jeweiligen Upstream-GW als Default sollte doch über den Priority-Wert automatisch erfolgen (ähnlich Tier 1 und Tier 2 bei einer Gateway-Group)?
Falls sich zufällig jemand damit näher auskennt, würde ich mich über eine kurze Klarstellung freuen. Möchte mich vor einer Umkonfiguration erst informieren (planloses Ausprobieren ist derzeit schwierig, weil der Familienrat derzeit sehr empfindlich reagiert, wenn es dadurch zu Ausfällen kommt... )
Vielen Dank,
G.
-
Hallo,
die Gateway Groups ziehen ohnehin nur, wenn sie in den FW-Rules gesetzt sind.
Ansonsten funktioniert dein Szenario wie gewünscht (betreibe ich ähnlich), so lange du nur IPv4 intern verwendest.
Gruß
Andreas
-
Nachtrag: am Gateway eine externe Monitor-IP angeben (bspw. 8.8.8.8) da deine Kabel- bzw. LTE Router in der Regel noch antworten, wenn die Internetverbindung gestört ist.
-
Außerdem ist "Allow default gateway switching" aktiviert.
Wo finde ich diese Option?
-
System -> Settings -> General ziemlich unten...
-
System -> Settings -> General ziemlich unten...
Ich hätte schwören können, dass ich da auch schon nachgeschaut hab...tatsächlich :).
Danke!
-
die Gateway Groups ziehen ohnehin nur, wenn sie in den FW-Rules gesetzt sind.
Ansonsten funktioniert dein Szenario wie gewünscht (betreibe ich ähnlich), so lange du nur IPv4 intern verwendest.
Super, vielen Dank für die Bestätigung, dass ein Multiwan Failover quasi Out of the Box funktioniert, wenn „Allow default gateway switching" aktiviert ist. Aus dem offiziellen Wiki zum Multiwan ist das für mich nicht so klar hervorgegangen. Eine Gateway Group mit entsprechendem Route Policying braucht man dann wohl nicht einzurichten, wenn es nur darum geht, im Falle eines Gateway Ausfalls sämtlichen Traffic über eine andere Upstream Leitung zu schicken.
-
Würde mich interessieren ob es dann geklappt hat, die Frage ob GW groups zwingend erforderlich sind habe ich mir auch schon gestellt.
Gibt es vor oder Nachteile bei den beiden Varianten?
-
Würde mich interessieren ob es dann geklappt hat, die Frage ob GW groups zwingend erforderlich sind habe ich mir auch schon gestellt.
Gibt es vor oder Nachteile bei den beiden Varianten?
Mit den Gateway Groups bist du flexibler in der Konfiguration, dafür musst du mindestens eine Rule erstellen, welche den outbound Traffic auf die Gruppe schickt. Die Single Gateways greifen Systemweit.
Es ist möglich z.B. auch für die gleichen Gateways mehrere Gruppen mit unterschiedlichen Kofigurationen zu bilden. Dann kannst du mittels FW Rule z.B. Die Gruppe A beim Netz 1 und die Gruppe B beim Netz 2. konfigurieren.