OPNsense Forum
International Forums => German - Deutsch => Topic started by: opns_neuling on December 02, 2020, 04:32:42 pm
-
Hallo @community,
Ich sehe den Wald vor lauter Bäumen nicht!
opnsense HA mit 2 WAN Interfaces
Haproxy mit https proxing zu Web Servers im DMZ Bereich.
Alles soweit OK.
Das Problem:
WAN1 anpingbar (von aussen) und "https://xxx" ist erreichbar
WAN2 anpingbar (von aussen) und "https://xxx" ist NICHT erreichbar
Anfragen über WAN2 werden über WAN1 geantwortet und NICHT über WAN2 (bestätigt mit Packet Capture) !!!
WAN1 z.Z. Default Gateway (active)
Hinweis:
1) ein netstat -ln bestätigt das den port 443 auf beide WAN Schnittstellen läuft's
2) firewall logs zeigen dass die ports nicht blockiert sind und Daten/Anfragen ankommen.
3) Bei beide WAN's (WAN1 und WAN2) sind als Gateway (ganz unten) die entsprechenden Gateways eingetragen.
4) Unter Firewall ‣ Settings ‣ Advanced: Sticky Connections ist gesetzt.
5) Unter Firewall ‣ Settings ‣ Advanced: Disable force gateway ist gesetzt.
6) Beide Gateway zu jeder WAN haben die Option "Upstream" aktiviert.
Tips ? Hint's ?
Vielen Dank im Voraus ...
-
Ja klar - Du hast ja erst mal nur eine Default-Route. Und da gehen die Pakete dann raus. Wenn der Provider ein ordentliches Unicast RPF macht, war's das dann.
Es gibt bei der Regel dann irgendeinen Knopf für den Next-Hop genau für die Pakete. Guck mal, oder warte, bis sich jemand meldet, der mehr Plan von Details an dieser Stelle hat als ich.
-
Es klingt nach eine Erklärung / Lösung ... ich finde es gerade aber noch nicht ...
Also ich warte auf ein Stichwort :)
-
Unter Interfaces : WAN, haben beide ganz unten Upstream Gateway was drin oder auto-detect?
-
Hi !
Bei beide WAN's (WAN1 und WAN2) sind als Gateway (ganz unten) die entsprechenden Gateways eingetragen.
Grüße
-
Dann musst du erst Mal via packet capture schauen ob das wirklich so ist
-
Hi!
Anfragen über WAN2 werden über WAN1 geantwortet und NICHT über WAN2 (bestätigt mit Packet Capture) !!!
-
Und bei Ping ist das aber nicht so, korrekt?
-
richtig !
Ping von aussen läuft's einwandfrei bei beiden WAN's:-)
-
Mit tcpdump bestätigt, dass die echo replies auch zum richtigen Interface wieder rausgehen?
-
Das wundert mich ehrlich gesagt, ich kanns aber auch nicht nachstellen, hab grad keine Isntallation mit Dual WAN zum spielen da. :(
-
Guten Morgen !
Das hier war das Problem !!!
Zitat auf die Dokumentation:
For multiwan setups be careful with groups, since groups are not bound to a specific interface, they will use the normal routing system to determine the next hop when applied on WAN type interfaces (reply-to is not used here).
Die Firewall Rules aus die WANGRUPPE pro WAN Interface im Firewall kopiert und siehe da, es läuft :-)
-
Kaum macht man's richtig, schon geht's :)
-
Guten Morgen !
Das hier war das Problem !!!
Zitat auf die Dokumentation:
For multiwan setups be careful with groups, since groups are not bound to a specific interface, they will use the normal routing system to determine the next hop when applied on WAN type interfaces (reply-to is not used here).
Die Firewall Rules aus die WANGRUPPE pro WAN Interface im Firewall kopiert und siehe da, es läuft :-)
Hast du davon einen Screenshot?
-
Welche screenschots möchtest du gern ?
-
Deiner Lösung mit den Gruppen
-
Deiner Lösung mit den Gruppen
ich glaube die gruppen waren hier nicht die lösung sondern das problem, wenn ich es richtig verstanden habe. beide WANs waren in einer gruppe, und dort die firewall regeln gesetzt. bei gruppen wird aber kein reply-to erzeugt, somit wurde die default route für antworttraffic auch bei paketen verwendet, die auf WAN2 rein kamen.
setzt man die regeln direkt auf die interfaces, wird das reply-to mit angehangen, und pf leitet den antworttraffic übers richtige interface wieder raus.