Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: litzozoid on June 09, 2023, 11:37:14 AM

Title: Dual WAN port weiterleitung
Post by: litzozoid on June 09, 2023, 11:37:14 AM
Hallo

Ich habe eine Firewall mit Dual WAN eingerichtet. Mit Failover

Ich möchte jetzt einzelne Aplicationen/Ports ein bestimmtes WAN zuweisen.

zb. sowas wie 443 soll nur über WAN2 laufen und nicht über WAN1


Danke schonmal für eure Antworten!
Title: Re: Dual WAN port weiterleitung
Post by: Patrick M. Hausen on June 09, 2023, 11:41:51 AM
Eine "allow" Regel mit explizitem Gateway wird das tun.
Title: Re: Dual WAN port weiterleitung
Post by: litzozoid on June 09, 2023, 12:03:23 PM
hallo

Kannst du mir die Regel bitte detalierter beschreiben?
Ich hab schon viel ausprobiert habs aber nicht hinbekommen.
Title: Re: Dual WAN port weiterleitung
Post by: Patrick M. Hausen on June 09, 2023, 12:09:26 PM
Interface: LAN
Source: LAN net
Source Port: any
Destination: any
Destination Port: 443
Action: allow
Gateway: WAN2_Gateway
Title: Re: Dual WAN port weiterleitung
Post by: litzozoid on June 09, 2023, 12:19:11 PM
Danke funktioniert!! :)
Title: Re: Dual WAN port weiterleitung
Post by: Patrick M. Hausen on June 09, 2023, 12:47:13 PM
Wenn du trotzdem das Failover beibehalten willst, dann kannst Du m.W. Gateway Groups definieren mit einer Priorität. Also GW_WAN2 höhere Prio als GW_WAN1 und dann benutzt du in der Regel die Group als Gateway.

Hab ich noch nicht ausprobieren können, da ich keine Umgebung mit Multi-WAN habe.

So wie es im Moment ist, ist HTTPS tot, wenn WAN2 mal ausfällt.
Title: Re: Dual WAN port weiterleitung
Post by: litzozoid on June 12, 2023, 03:56:54 PM
Nein. Ich habe es ausprobiert explizit das Gateway anzugeben. Failover funktioniert trotzdem bei meiner Gateway Group.
Title: Re: Dual WAN port weiterleitung
Post by: Patrick M. Hausen on June 12, 2023, 04:03:12 PM
Fein  :) Danke für die Rückmeldung.
Title: Re: Dual WAN port weiterleitung
Post by: JeGr on June 16, 2023, 02:32:07 PM
Quote from: litzozoid on June 12, 2023, 03:56:54 PM
Nein. Ich habe es ausprobiert explizit das Gateway anzugeben. Failover funktioniert trotzdem bei meiner Gateway Group.

Das tut es aber sehr wahrscheinlich nur durch eine "Lücke" in der Logik, die man einstellen kann:

Firewall / Settings / Advanced

Die Einstellung " Skip rules   " besagt, dass bei einem Wegfall eines Gateways (in dem Fall WAN2) die Regel dann einfach OHNE Gateway ausgeführt/angelegt wird - was in deinem Fall dann das Default GW bzw. ein Failover GW ist womit es dann funktioniert. Machst du das aber nicht, weil du bspw. gezielt Traffic hast, der NICHT über ein anderes GW laufen soll/darf (oder zumindest nicht einfach so), dann verändert man dieses Verhalten meistens so, dass die Regel gelöscht/geskipped wird und damit gar nicht ausgeführt, da man es ansonsten im Livebetrieb schlicht nicht sieht, dass diese Regel gerade nicht gilt. Beide Varianten können somit zu Verwirrung führen.

Eventuell mag man also bei MultiWAN lieber den Fall, dass die Regel nicht angewendet wird, statt sie einfach auf irgendein Gateway loszulassen (was bspw. bei VPNs fatal sein kann, wenn der Traffic plötzlich unverschlüsselt über ein falsches Interface läuft).

Cheers :)
Text only | Text with Images