Quote from: mooh on June 16, 2025, 05:42:55 PMQuote from: JeGr on June 13, 2025, 11:32:56 AMMehr als ein Gateway auf WAN Seite würde ich absolut tunlichst vermeiden.
Kannst Du mir bitte helfen zu verstehen, warum asymmetrisches Routing mit zwei Gateways im selben Netzwerk (WAN) ein potentielles Problem ist, aber nicht mit den selben Gateways in 2 Netzwerken?
Es geht ja dann nicht um die SELBEN Gateways in 2 Netzen, sondern so eine Box in ein separates Netz (via VLAN, eigenes Interface, whatever) zu packen, wo nur noch die Box und die Sense drin spielen. Warum?
Die *sensen aktivieren bei WAN-style Gateways einen Zusatz im pf Filter, der Regeln auf dem WAN Interface ein "reply-to" hinzufügt, damit der Traffic der darüber reinkommt garantiert wieder dort rausgeht, wo er herkam. Gerade bei VPNs und Co kann das durchaus wichtig werden. Hast du jetzt 2 Gateways auf dem WAN und reply-to ist aktiv, dann kommt Traffic von der Box, geht zur Sense (und dem Client dahinter), kommt als Antwort zurück, geht aber NICHT wieder zur VPN Box, sondern geht zum Default-GW vom WAN -> dem Router davor. Je nachdem was das für ne Kiste ist und wie gut der Asymmetrie abkann, kann der das Paket mit Glück dann an die VPN Box weiterschicken (wenn Routen eingetragen sind), aber insgesamt ist das immer ein Konstrukt, das leicht brechen kann. Schaltet man reply-to ab, kann sein, dass vllt. andere Sachen, VPNs o.ä. nicht mehr sauber funktionieren wie gedacht.
Packt man jetzt einfach die Registerbox mit ihrem VPN in ein dediziertes VLAN/Interface an die Sense, dann wird die für das Remote Netz einfach als weiteres "WAN" an der Sense behandelt. Es gibt sauberes Routing mit einem GW pro Interface (WAN Kram bleibt WAN Kram, RemoteNetz XY wird sauber an die Registerbox geroutet) und alles läuft auf einem genau festgelegten Weg da lang, wo es soll ohne aus Versehen irgendwo anders abzubiegen.
Ich hoffe das war halbwegs verständlich ausgedrückt :)
Cheers
\jens