OPNsense Forum
International Forums => German - Deutsch => Topic started by: flycondor on August 15, 2018, 12:04:27 pm
-
Hallo,
Wir haben Opnsense (18.7) mit Multiwan (Loadbalancer) nach der Anleitung im Wiki (https://docs.opnsense.org/manual/how-tos/multiwan.html) eingerichtet. So ist der aktuelle Aufbau:
WAN WAN
: :
: CableProvider : DSL-Provider
: :
.----+----. .----+----.
| Router1 | Router | Router2 |
'----+----' '----+----'
192.168.1.1/24 | | 192.168.178.1/24
| .----------. |
+------| OPNsense |------+
192.168.1.12/24 '----+-----' 192.168.178.31/24
|
LAN | 172.30.1.1/24
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+-----...
(Clients/Servers)
Diese Konfiguration funktioniert.
Zusätzlich wurde noch eine OpenVPN-Client eingerichtet, der sich ausschließlich über den Kabelanschluss zu einem Server verbindet und die dortigen Netze per Routing dem LAN (Clients/Server) zur Verfügung stellt.
Um Einstellungen dafür vorzunehmen wurde eine Schnittstelle für den OpenVPNClient angelegt. Automatisch wurde von OPNsense für diese Schnittstelle ein Gateway eingerichtet. Für diese Schnittstelle wurden ausgehende NAT-Regeln angelegt:
Schnittstelle: VPNClient-Interface,
Quelle: LAN-Netz,
Ziel: VPN-Netze (Alias)
Zielport: 500 (statisch)
NAT-Adresse: Schnittstellenadresse
Schnittstelle: VPNClient-Interface,
Quelle: LAN-Netz,
Ziel: VPN-Netze (Alias)
Zielport: *
NAT-Adresse: Schnittstellenadresse
Damit kann ich aus dem LAN-Netz Geräte im VPNClient-Netz erreichen.
Jetzt zum Problem:
- Bei einem Ausfall des Kabelanschlusses (Netzwerkkabel abgezogen) besteht kein Zugriff mehr auf das Internet. Die Routingtabelle (Firewall->Einstellungen->Erweitert->Änder des Gateways erlauben) wird geändert, so dass jetzt der VPN-Client als Default-Gateway eingestellt und nicht wie erwartet der DSL-Anschluss (aus der Gateway-Gruppe).
Lösung: Nach dem deaktivieren das automatisch erzeugtem Gateways für das VPNClient-Interface, sind die Websiten erreichbar.
Im Gateway haben wir für den VPN-Client folgenden Einstellungen vorgenommen:
deaktivert: x
Monitor-IP: IP-Adresse des externen VPN-Servers
- Scheinbar nur zufällig, wird das Default-Gateway auf den DSL-Anschluss gesetzt. Manchmal existiert kein Default-Gateway in der Routing-Tabelle.
Wenn die Route nicht gesetzt wurde oder diese Route wieder verschwunden ist, funktioniert auch die DNS-Auflösung nicht (Firewall-Regel für LAN lokale Route zum DNS eingerichtet), surfen mit bekannten IP-Adressen funktioniert weiterhin auf den Clients.
Hat jemand vielleicht eine Idee, wo der Fehler liegt?
Vielen Dank