OPNsense Forum

International Forums => German - Deutsch => Topic started by: george09 on November 17, 2020, 03:04:11 pm

Title: Open VPN Load Balancing Multigateway + Multi GW Monitoring
Post by: george09 on November 17, 2020, 03:04:11 pm

Hallo zusammen,

ich hätte zwei Fragen:

1) Ich würde gerne ein oder mehrere OpenVPN Instanzen (Firewall Intern) auf mehreren Gateways erreichbar machen um die Last zu verteilen (gerade jetzt zu Corona Zeiten mit viel Homeoffice).

Ist das überhaupt mit der Firewall möglich, da die Firewall ja intern immer nur ein default Gateway hat?
Hat damit jemand Erfahrung, ich bin mehr oder weniger noch eher Einsteiger in der Thematik.

Wir haben folgende Leitungen, die jeweils an einer Fritzbox hängen (verschiedene IPs im gleichen Netz) und aktuell alle gebündelt an einem WAN-Port an der Firewall angeschlossen sind:

- 2x Vodafon Kabel 1000mbit
- 3x DSL Anschlüsse 100mbit

- OPNSense ist noch nicht produktiv im Einsatz
- OPNSense 20.7.3
- NICs: WAN, LAN, DMZ
- Gateways: 192.168.0.[103-107] / 24 (5 Fritzboxen)
- LAN verwendet Gateway Gruppe zur Lastverteilung / Failover

Vermutlich macht es Sinn die einzelnen Gateways zukünftig auf eigene physikalische Ports zu legen, dafür muss ich noch eine weitere Netzwerkkarte einbauen.

2) Ich habe festgestellt, dass das Monitoring mit PING auf die einzeln hinterlegten Monitor IPs der Gateways überhaupt nichts bringt, wenn eine Leitung ausfällt, da anscheinend der Ping immer vom default Gateway gemacht wird und so lange das nicht down ist, werden weiterhin alle Gateways als online angezeigt und weiterhin verwendet, was dann natürlich problematisch ist beim Loadbalancing hinsichtlich Konnektivität zum Internet... Benötigt man also für jedes Gateway eine eigene NIC um das UP Monitoring praktikabel zu machen?

Als Monitoring IPs verwende ich verschiedene öffentliche DNS Server. Ein Ping auf die öffentliche Adresse des jeweiligen Gateways wäre schwierig wg. wechselnden IPs.

Viele Grüße
George

Title: Re: Open VPN Load Balancing Multigateway + Multi GW Monitoring
Post by: george09 on November 17, 2020, 05:28:30 pm

Wegen dem Multi WAN VPN teste ich mal den Vorschlag aus diesem Thread (habe etwas vorschnell einen eigenen Thread eröffnet...)  https://forum.opnsense.org/index.php?topic=19804.msg92059

Title: Re: Open VPN Load Balancing Multigateway + Multi GW Monitoring
Post by: Gauss23 on November 17, 2020, 05:50:15 pm

Leg den OpenVPN Server einfach auf die LAN Schnittstelle und erstelle 2 Port Forwards, jeweils von einer WAN-Strecke auf die interne LAN IP und OpenVPN Port.
Die Pakete gehen immer den Weg raus, den sie reingekommen sind (außer man verbiegt was mit FW Regeln). Daher sollte das so direkt funktionieren. Du könntest einen A Record mit 2 IPs hinterlegen, dann würden die Clients im Zufallsverfahren auf beide WAN Strecken verteilt werden.

Title: Re: Open VPN Load Balancing Multigateway + Multi GW Monitoring
Post by: Gauss23 on November 17, 2020, 05:52:03 pm

Ach so und zum zweiten Thema: ich würde die Leitungen schon trennen, entweder physisch oder zumindest in VLANs, so hat die OPNsense für jede Verbindung auch ein echtes Interface. Dann sollte Dein Gateway Monitoring auch laufen.

Title: Re: Open VPN Load Balancing Multigateway + Multi GW Monitoring
Post by: george09 on November 18, 2020, 04:48:39 pm

Vielen Dank für die Antworten. Ich versuche erst mal meine Gateways in mehrere WANs als VLANs zu trennen.
Ich stehe aber gerade etwas auf dem Schlauch, darf ich die Fritzboxen alle im gleichen IP Netz lassen?

Interfaces:
WAN1: 192.168.0.10/24   GW: 192.168.0.103
vlan2 WAN2: 192.168.0.11/24   GW: 192.168.0.104
vlan3 WAN2: 192.168.0.12/24   GW: 192.168.0.106