[SOLVED] Clients auf zwei WANs verteilen

[derw0lf]

Hallo zusammen,
ich würde gerne den Traffic aus meinem LAN (verschiedene Rechner) über zwei verschiedene WAN-Schnittstellen routen. Ein WAN ist per DHCP konfiguriert und das zweite mit einer statischen Adresse (IPv4).
Als default gateway nutzen die Clients immer die initial eingerichtet WAN-Schnittstelle die per DHCP konfiguriert ist.
Wie erreiche ich am besten mein Ziel, dass einzelne Clients aus meinem LAN über das zweite WAN-Interface rausgehen? Wenn ich ein VLAN anlege habe ich das Problem, dass mir das Gateway für das zweite WAN-Interface nicht im Dropdown unter "IPv4 Upstream Gateway" angezeigt wird und somit nur die Einstellung "Auto-detect" ausgewählt werden kann. Damit würden die Clients aber wieder über das default WAN rausgehen.
Hat hier jemand eine gute Idee für die Konfiguration?

[JeGr]

> Wie erreiche ich am besten mein Ziel, dass einzelne Clients aus meinem LAN über das zweite WAN-Interface rausgehen?

Einfachste Lösung für den Anfang wäre sicherlich, mit Policy Based Routing via Firewall Regeln. Du erstellst über der "normalen" Allow Regel, die deine Clients jetzt auf dem LAN haben noch eine weitere mit Source "AliasXY" und packst die Geräte in das Alias, die das zweite WAN nutzen sollen. Dann stellst du bei dieser Regel als Gateway fix das GW des zweiten WANs ein. Danach sollten alle Clients mit den IPs aus AliasXY brav via 2. WAN ins Internet tuckern, gesetzt den Fall du hast die NAT Regeln (wenn nicht auf Hybrid oder Auto) schon angelegt und das zweite WAN ist sauber UP und running.

> Wenn ich ein VLAN anlege habe ich das Problem, dass mir das Gateway für das zweite WAN-Interface nicht im Dropdown unter "IPv4 Upstream Gateway"

Das verstehe ich nicht ganz. Meinst du bei einem weiteren VLAN das Default GW bei den statischen IP Einstellungen? Das hat nichts mit deinem Wunsch zu tun, sondern gilt NUR für WAN Links. Diese haben hier ihr Upstream Gateway drin, alle LANs/VLANs die lediglich intern sind, haben hier nichts! Gateways auf Schnittstellen werden nur auf WANs definiert, sonst bringst du deine Routing Tabelle komplett durcheinander Hier erscheinen auch nur GWs die auf diesem Interface angelegt wurden, daher ist da nichts auszuwählen.

Cheers
\jens

[derw0lf]

Danke dir für die ausführliche Antwort!
Den Weg mit der Firewall Regel habe ich bereits im Vorfeld getestet, allerdings funktioniert die DNS-Auflösung nicht mehr am Client sobald er über das fixe Gateway raus geht. Eigentlich dürfte sich am DNS doch nichts ändern nur weil ich das Gateway umbiege, oder übersehe ich da was?
Da meine zweite WAN-Schnittstelle mit einer fixen IP rausgeht habe ich in der FW Regel dann das zugehörige Gateway zu der IP für die Clients hinterlegt, korrekt?

Die Thematik VLAN können wir dann verwerfen

[derw0lf]

Mein DNS-Server ist an einem anderen Standort über die Wireguard-Verbindung verfügbar. Könnte das noch eine Hürde sein und der Grund dafür, dass die DNS-Auflösung über das Gateway von WAN2 nicht funktioniert? Ich kann nämlich über WAN2 auch keinen PING auf das Netzwerk hinter dem Wireguard Tunnel durchführen und selbst ein PING auf die LAN-Schnittstelle der OPNsense in meinem Netzwerk geht nicht durch.

[lfirewall1243]

Ist ja eigentlich ein normales MultiWAN Setup mit Policy Based Routing

Steht also hier in den Docs
https://docs.opnsense.org/manual/how-tos/multiwan.html

[lfirewall1243]

Mein DNS-Server ist an einem anderen Standort über die Wireguard-Verbindung verfügbar. Könnte das noch eine Hürde sein und der Grund dafür, dass die DNS-Auflösung über das Gateway von WAN2 nicht funktioniert? Ich kann nämlich über WAN2 auch keinen PING auf das Netzwerk hinter dem Wireguard Tunnel durchführen und selbst ein PING auf die LAN-Schnittstelle der OPNsense in meinem Netzwerk geht nicht durch.

Du musst natürlich vor den Rules wo ein Gateway hinterlegt ist Regeln erstellen welche DNS und deine VPN Netze beinhalten, bei diesen Regeln hinterlegst du kein Gateway sonder lässt es auf "Standard".

[derw0lf]

Danke für die Tipps. Hatte mal wieder vergessen, dass ich für den Alias natürlich die entsprechenden Firewall Regeln erstellen muss...