Best Practice dual IP mit dual WAN

Started by c-mu, April 30, 2021, 12:40:03 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 30, 2021, 12:40:03 PM
Hallo,
ich bin gerade am Anfang eines Konzeptes, wo ich eine zweite LWL Leitung mit X Public IPs an eines bestehen 1-WAN Setup koppeln möchte und frage mich wie man folgendes Szenario richtig umsetzt:

Failover von intern nach extern über eine Gateway Tier Group ist ja einfach und schnell erledigt, aber wie sieht es damit aus:

Gehen wir davon aus, dass ich einen WWW Server habe. Im Public-DNS will ich zwei IPs zu dem WWW-Srv registrieren. Eine IP vom WAN1 Netz und eine vom WAN2 Netz, sodass wenn IP 1 (wan 1) ausfällt, die Website weiter über IP 2 (wan 2) erreichbar ist.

Das ich für beide IPs eine Portfreigabe von extern nach intern machen muss ist mir klar. Aber wie verhindere ich jetzt asynchrones Routing? Wenn die Anfrage über IP1 rein kommt, darf sie nicht via IP2 beantwortet werden und umgekehrt. Die Leitungen werden also im Active Active Mode verwendet.

Zurzeit habe ich outgoing NAT rules alá

www intern: 192.168.0.1 NAT IP extern 55.0.0.1

Jetzt kann ich ja schlecht diese Regel klonen und für die zweite Public IP verwenden, oder etwa doch?! Ich glaube das hier würde sich beißen:

www intern: 192.168.0.1 NAT IP extern 55.0.0.1
www intern: 192.168.0.1 NAT IP extern 66.0.0.1

Als möglichen Lösungsansatz dachte ich mich, man gibt dem Internen Server einfach eine zweite IP Adresse, so dass ich sie sauber im Outgoing NAT aufdöseln kann:

www intern eth0: 192.168.0.1 NAT IP extern 55.0.0.1
www intern eth1: 192.168.0.2 NAT IP extern 66.0.0.1

Aber das sieht mir nach einem dirty hack aus. Aber vielleicht auch genau das was man machen muss? Ich hoffe jemand hat ein ähnliches Setup und kann mir das Brett vorm Kopf entfernen ;-)

Vielen Dank!


April 30, 2021, 05:14:53 PM #1
Muss mal fragen warum nicht einen externen Load Balancer davor setzen. Wenn eine IP nicht mehr erreicht wird schickt er eben alles an die andere IP. Kannst ja dann auch den Traffic steuern, so das eine IP nicht 'ueberlastet' wird.

April 30, 2021, 05:53:35 PM #2
Quote from: c-mu on April 30, 2021, 12:40:03 PM
Aber wie verhindere ich jetzt asynchrones Routing? Wenn die Anfrage über IP1 rein kommt, darf sie nicht via IP2 beantwortet werden und umgekehrt.

Genau für solche Fälle ist das 'reply-to' Feature da. Die Firewall merkt sich, über welches Interface eine Verbindung eingeht und sendet die Antwort auch über dieses Interface raus (genauer gesagt: an das Gateway hinter diesem Interface). Die Funktion ist für Regeln auf Interfaces mit zugeordnetem Gateway standardmäßig aktiv, also keine weitere Konfiguration erforderlich.

Grüße

Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
Print
Go Up Pages1
User actions