OPNsense Forum
International Forums => German - Deutsch => Topic started by: no_Legend on April 27, 2018, 02:48:51 pm
-
Hallo Zusammen,
ich habe eine Alix APU am laugen, welche zuvor mit einer PFsense gelaufen ist.
Aus verschiedenen Gründen bin ich nun zu OPNSense gewechselt.
Nun wollte ich zwei WANs,
1. 150 down / 5 up
2. 50 down / 10 up
zusammen nutzten.
Grundsätzlich bin ich nach der https://docs.opnsense.org/manual/how-tos/multiwan.html
Anleitung vorgegangen.
Dazu hab ich unter System -> Gateway -> Single bei jedem WAN eine Monitor IP eingetragen
Danach unter System -> Gateway -> Group einen Gruppe erstellt und beide WANs als Tier 1 eingestellt.
Als nächste dann in der Firewall unter LAN das Gateway auf die Gruppe geändert.
Die Firewall Regel für DNS habe ich wie dort gezeigt angelegt.
Ich hoffe das ist weit korrekt, da ich beide WANs Gleichzeitig nutzten möchte?
Hier hab ich aber dann das Gefühl, dass der Seitenaufbau ziemlich lange dauert.
Muss ich hier zwingend mit nem Loadbalander arbeiten?
Was ich auch nicht hinbekomme ist, einen Host nur über eine bestimmte WAN Leitung raus und rein gehen zu lassen.
Habe hier gedach den Host einfach in der Firewall das eine WAN zu sperren.
Bin für jede Hilfe dankbar.
Wenn ich Screenshots machen soll, lasst es mich bitte wissen
Danke und Gruß Robert
-
> ich habe eine Alix APU am laugen, welche zuvor mit einer PFsense gelaufen ist.
Bitte bitte. Wenn ihr Hardware beschreibt informiert euch RICHTIG darüber, WAS ihr da in der Hand habt. Es gibt KEINE ALIX APU. Das Ding ist entweder ein ALIX Board (richtig alt und EOL), APU (alt und EOL), APU2 oder eine APU3 (wenn man nicht gelesen hat, dass die APU3 eigentlich die APU2 ist nur mit Steckplätzen für 3G/LTE also eher sinnfrei für die meisten).
Solang also nicht klar ist, WAS du da genau rumliegen hast, kann man sich da blöde verhaspeln. ALIX und APU sind zumindest beide EOL und würde ich BTW nach Möglichkeit austauschen (wenigstens gegen eine APU2).
> Dazu hab ich unter System -> Gateway -> Single bei jedem WAN eine Monitor IP eingetragen
Warum? Vorgeschaltete Router? Gateway nicht pingbar?
> Danach unter System -> Gateway -> Group einen Gruppe erstellt und beide WANs als Tier 1 eingestellt.
Dadurch erstellst du eine "Loadbalancing" Gruppe, was nicht immer das ist, was man haben möchte.
> Ich hoffe das ist weit korrekt, da ich beide WANs Gleichzeitig nutzten möchte?
Du verstehst, dass du beide WANs nur in Ausnahmefällen gleichzeitig nutzen wirst? Und dass das durchaus auch Probleme mit sich bringen kann wenn du keine Stickyness definierst (womit du dann in noch weniger Fällen beide Leitungen benutzen wirst)?
> Muss ich hier zwingend mit nem Loadbalander arbeiten?
Du arbeitest gar nicht mit einem Loadbalancer. Deine Regel leitet nur deine Requests abwechselnd über die unterschiedlichen Gateways und das auch nur pro neuem Request. Oder im Fall von Stickyness nur bei unterschiedlichen Clients. Aber verwechsle hier nicht dein MultiWAN Gateway mit einem echten Loadbalancer (der Funktion bspw. von relayd und Co.)
> Habe hier gedach den Host einfach in der Firewall das eine WAN zu sperren.
Nein, das ist quatsch. Du definierst mit deiner Firewallregel und dem MultiWAN GW erst die Tatsache, dass der Host über beide Lines raus soll und blockst ihm dann eine davon? Bemerkt man schon, dass das nicht so ganz Sinn macht oder vielleicht dann der Host jedes Mal wenn er Line2 bspw. nutzen soll/will geblockt wird nicht so gut für seinen Verbindungsaufbau? ;)
> Was ich auch nicht hinbekomme ist, einen Host nur über eine bestimmte WAN Leitung raus und rein gehen zu lassen.
Wenn man es sinnvoll mit Failover machen will legt man eine Failover Gruppe mit Prio auf der Line an, über die der Host meist raus soll und setzt dann eine neue Regel ÜBER die MultiWAN Regel die du erstellt hast drüber mit Source = spezifischer Host und Gateway = Failover Gruppe. Dann geht genau dieser Host über bspw. WAN1 raus und nur wenn das down ist über WAN2 (oder man wählt als Gateway direkt WAN1 aus, dann ist der Host eben tot wenn WAN1 aus ist).
Gruß
-
Hallo JeGr,
es ist ne APU2 von PCengines.
Es sollte doch keine Rolle spielen, ob jetzt eine APU oder APU2 vorhanden ist.
Die Konfiguration des System ist doch gleich.
Das mit dem LoadBalancing steht doch so ind er Wiki.
Eine richtige Lastverteilung stellt es nicht da.
Auch wenn beide Leitungen mit der gleichen Tier sind, sollte dann nicht trotzdem ein Failover stattfinden?
Sobald ich das Sticky setze werden die Seiten erst nach jedem zweiten Aufruf geöffnet.
Das mit dem Blocken mache ich deshalb, weil ich einen Server habe welcher über die Leitungen mit dem Höheren Upload raus soll.
Das macht für mich schon sinn.
Gruß Robert
-
> Es sollte doch keine Rolle spielen, ob jetzt eine APU oder APU2 vorhanden ist.
Für eine Hilfestellung - wenn schon Hardware angegeben ist - sollte auch die richtige angegeben sein. Mag pedantisch sein, aber die Geräte sind anders. Punkt. Schon die Netzwerk Hardware ist grundverschieden - Realtek vs Intel Interfaces u.a.
Es wäre zudem ganz praktisch gewesen wenn du auf die gestellten Fragen auch antwortest oder Infos gibst und nicht einfach mit "aber das macht doch Sinn was ich tue" konterst zudem wenn man dir schreibt, dass es das nicht tut bzw. so nicht funktioniert (Blocken aus zweiter Leitung bspw.)
> Auch wenn beide Leitungen mit der gleichen Tier sind, sollte dann nicht trotzdem ein Failover stattfinden?
Wenn ein Gateway down ist, ja. OB das down ist und ob das festgestellt wird, ist aber die Frage. Wird das bspw. korrekt erkannt und heruntergefahren.
> Sobald ich das Sticky setze werden die Seiten erst nach jedem zweiten Aufruf geöffnet.
Dann ist etwas grundlegend falsch, wenn beide GWs up sind sollten auch beide funktionieren und nicht nur jeder zweite Zugriff
> Das macht für mich schon sinn.
Sorry, aber wenn du sagst "etwas geht nicht", jemand schreibt dir "so macht das keinen Sinn bzw. so geht das nicht" und du antwortest damit, dann macht das ganze Erklären bzw. Helfen keinen Sinn. Ich hatte dir darauf einen ganzen Absatz geantwortet, dass das SO keinen Sinn macht, weil das einen völlig falschen Effekt auslöst bzw. falsch behandelt wird und du das mit einem GW lösen sollst und nicht jeden 2. Zugriff blocken - denn das ist das was passiert. Denn das LB Gateway hat keine Ahnung davon, dass DU für diesen Host das 2. GW blockierst. Und damit wird jeder zweite Zugriff abgeblockt und wird nicht rausgehen. Das ist doch keine logische/funktionierende/sinnvolle Konfiguration - und das habe ich versucht mit meinem Beispiel rüber zu bringen.
Grüße Jens
-
@JeGr
Gerade in so einem Fall wie diesem hier mit @no_Legend, empfehle ich, wenn auch nur sehr ungern, die Forensuche. Denn ein Forum ist ja eigentlich dafür da, eine sinnvolle Frage und Antwort Diskussionskultur zu pflegen. Wenn ich aber teilweise sowas wie in diesem Thread lese, da weiß ich gar nicht wo ich jetzt helfen sollte. Soll ich jetzt für diesen Fall erraten was der Fragesteller möchte, soll ich so höflich sein und noch nachfragen? Oder soll ich aufgrund meines ersteren erratens eine Anleitung verfassen, die auf sein Problem zutreffen könnte, es aber letztlich nicht tut und meine "Glaskugel" daneben lag?
Gerade bei einigen Fragestellungen die ich bereits beantwortete habe sitze ich hier teilweise mindestens eine halbe Stunde um mich in das Problem des jeweiligen Benutzers reinzudenken. Das geht aber nur, weil von den Leuten die Hilfe brauchen auch etwas kommt und man auch merkt das es dem Fragesteller wichtig ist, sein Anliegen gelöst zu bekommen. So das man beim lesen des jeweiligen Threads (https://forum.opnsense.org/index.php?topic=7483.0) die Mitarbeit oder eher Zusammenarbeit des Fragenden und Antwortenden auch als dritter erkennen kann.
Das soll jetzt auch nicht persönlich gegen dich gehen @no_Legend, aber wie Wichtig ist dir das die OPNsense Firewall bei Dir läuft und du die so in Betrieb nimmst, wie du dir das vorstellst.
Ich könnte auch bei Fragen zu bestimmten Themen, diese einfach so "auf die schnelle" beantworten, dies wäre aber nicht Kompetent und dem Fragenden würde das wahrscheinlich auch nicht helfen. Du Antwortest allerdings so auf Fragen die dir gestellt werden, was mich daran zweifeln lässt ob du überhaupt Hilfe möchtest, oder du einfach Leute beschäftigen möchtest?
Das nur mal als gut gemeinten Denkanstoß. Denn es würde neben mir noch viele weitere User hier im Forum geben die dir sicher helfen würden, aber aus deinem Durcheinander nicht schlau werden, und daher nicht antworten.
Also, um dein Anliegen lösen zu können musst du beantworten:
1. Netzwerktopologie Skizze IST- Zustand (https://forum.opnsense.org/index.php?topic=7216.0)
2. Netzwerktopologie Skizze SOLL- Zustand (https://forum.opnsense.org/index.php?topic=7216.0)
3. Netzwerktopologie Beschreibung IST- Zustand
4. Netzwerktopologie Beschreibung SOLL- Zustand
5. Persönliche Wünsche (Was für dich sinn macht).
Warum ich das hier so aufführe, ist der, da niemand hier im Forum deine Vorstellungen sonst nachvollziehen kann. Es ist ebenfalls niemand hier bei dir am Einsatzort der OPNsense, der dein Netzwerk usw. kennt. Daher sind das die Anforderungen die du beantworten musst, damit dir geholfen werden kann. Denn nichtmal ich blicke nach dem siebten mal lesen dieses Threads durch was du genau möchtest.
Nur grob, irgendwas mit Multiwan und einem Server, was du genau damit machen möchtest: ????
Ansonsten empfehle ich dir diesen Thread hier: https://forum.opnsense.org/index.php?topic=7797.0
Gruß
NR
PS: @no_Legend
Jeder der Fragen, oder Hilfe sucht wird sie auch bekommen, um es den Antwortenden zu erleichtern hat @JeGr ja im Forum den "Netzdiagramme in Textform zum Einfügen"-Thread (https://forum.opnsense.org/index.php?topic=7216.0) angepinnt. Zudem, je einfacher und übersichtlicher ein Problemlösungsthread aufgebaut ist, desto schneller wird man auch Antworten bekommen. Und desto einfacher hat es derjenige der dir oder generell jemandem helfen möchte. Das spart dann auch Zeit auf der Seite des Antwortschreibers und so kann auch mehreren Leuten geholfen werden. Und die Hilfe erfolgt in zweierlei Hinsicht, erstere habe ich im letzen Satz genannte. Die zweite ist, das die Fragethreads durch ihre Struktur einen Dokumentationscharakter bekommen, sodass jemand der z.B. ein ähnliches Einsatzszenario von OPNsense mit ähnlicher Netzwerkstruktur hat, sein Setup wiedererkennt und die gemachten Schritte nachvollziehen kann. So kann man sich dann wirklich mal um wirklich neue Probleme kümmern, statt immer ähnliche und teilweise die selben Fragen zu beantworten.