Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Wireguard Multiwan (Failover)
« previous
next »
Print
Pages: [
1
]
Author
Topic: Wireguard Multiwan (Failover) (Read 1080 times)
peterfido
Newbie
Posts: 6
Karma: 0
Wireguard Multiwan (Failover)
«
on:
January 30, 2023, 07:25:06 pm »
Hallo,
ich versuche jetzt ein paar Tage, Wireguard in einer Multiwan-Konfiguration, welche auf Failover steht, vernünftig zu nutzen.
WAN 1 hängt hinter einer Fritzbox und bekommt Internet der Telekom. WAN 2 hängt hinter einem Vodafone-Router und bekommt Internet von Vodafone Kabel. Letzteres scheint die OPNsense als Standard-Uplink zu nutzen, obwohl als Tier 2 eingerichtet. Darüber läuft Wireguard allerdings anstandslos. Die Weiterleitung vom Wireguard Port der IPv6 klappt vom Vodafone Router anhand der MAC Adresse.
Will ich die Verbindung über die Fritzbox aufbauen, kommt das auch in der OPNsense über WAN 1 an. Die Antwort schickt OPNsense allerdings über WAN 2 raus, sodass der VPN Tunnel nicht aufgebaut werden kann.
Das Thema gab es hier schon vor über 2 Jahren. Eine Lösung wurde allerdings nicht gefunden.
Mir fällt jetzt nur noch ein, Proxmox auf der OPNsense Hardware zu installieren und dort dann zwei OPNsenses drauf laufen zu lassen. Dann würde das Failover evtl. wegfallen oder ich müsste dafür eine dritte OPNsense installieren, wenn das nicht anders geht.
Oder hat hier jemand ein ähnliches Setup und die Lösung gefunden, dass Wireguard auf dem WAN raus geht, wo es rein kommt, auch wenn Multiwan aktiv ist?
Logged
tiermutter
Hero Member
Posts: 1097
Karma: 61
Re: Wireguard Multiwan (Failover)
«
Reply #1 on:
January 30, 2023, 07:48:55 pm »
Das bei dir Tier 2 genutzt wird ist schon merkwürdig, aber sei das mal dahingestellt. Warum willst du beide Verbindungen gleichzeitig nutzen? Wenn das WAN auf Tier 2 (hier default) ausfällt, dann wird WG auf dem anderen Interface antworten... Sollte für ein failover ausreichen, oder?
Anders wäre natürlich schöner, also wie bei OVPN, da klappt das anstandslos...
Logged
i am not an expert... just trying to help...
peterfido
Newbie
Posts: 6
Karma: 0
Re: Wireguard Multiwan (Failover)
«
Reply #2 on:
January 31, 2023, 06:09:49 am »
Danke für die Antwort.
Erstmal fehlt mit da der Sinn, warum er einen anderen Ausgang als Eingang nimmt. Failover ist die eine Sache. Die zweite ist, dass ich nicht von unterwegs per IPv4 rein komme, wenn IPv6 zuhause läuft. Nicht überall hat man IPv6 zur Verfügung. Hotel-WLAN z.B.
Du hast schonmal so weitergeholfen, dass ich am Wochenende mal OpenVPN testen werde. Trotzdem wäre mir Wireguard lieber.
Mit dem Vorzug von Tier 2 muss ich auch noch suchen. Denn über WAN 1 habe ich 250 / 40 MBit und über Vodafone, welches nur als Failover und für Gäste ist, 40 / 5 MBit. Aber da mache ich im Zweifel ein neues Thema auf.
Logged
tiermutter
Hero Member
Posts: 1097
Karma: 61
Re: Wireguard Multiwan (Failover)
«
Reply #3 on:
January 31, 2023, 06:39:30 am »
Ich denke dass wird daran liegen, dass alles über die GW Group geroutet wird und demnach das andere Interface dran ist. Wie gesagt, keine Ahnung was OVPN da anders macht.
Wenn Du v6 also deaktivierst funktioniert es mit v4 oder wie ist das zu verstehen? Das wäre komisch...
Zu den Tiers: In der default allow der Firewallregeln ist die GW Group gesetzt? Sonst wird die Group missachtet und es wird anhand der Prio des GW entschieden.
Logged
i am not an expert... just trying to help...
peterfido
Newbie
Posts: 6
Karma: 0
Re: Wireguard Multiwan (Failover)
«
Reply #4 on:
January 31, 2023, 04:47:14 pm »
Vodafone ist nur per IPv6 von außen erreichbar. Daher geht da nur IPv6. Die Verbindung auf der Telekom Seite ist auch über IPv4 erreichbar von extern.
Die Gruppe ist in der Firewall gesetzt. Ich werde am Wochenende mal testen, wie es ist, wenn ich die Vodafone Verbindung kappe. Wobei ich IPv6 von Vodafone nur für die Wireguard / VPN nutzen würde.
.
Logged
peterfido
Newbie
Posts: 6
Karma: 0
Re: Wireguard Multiwan (Failover)
«
Reply #5 on:
February 04, 2023, 11:27:48 am »
So, dass Tier 2 aktiv war, lag an meiner Konfiguration. Das einmal gedreht, und Tier 1 ist aktiv.
Wireguard läuft dann auch über die Telekom am WAN 1. Allerdings läuft es jetzt nicht mehr über Vodafone am WAN 2. Für IPv6 eine Failover Gruppe anzulegen, klappt so nicht, da die Monitoring IPs wohl nicht pingbar sind. Zumindest werden die WAN 1 und WAN2 bei DHCPv6 als offline angezeigt.
Somit scheint eine Konfiguration, wie ich sie vorhatte: MultiWAN mit Failover auf IPv4 und IPv6, nicht so machbar zu sein. Da Wireguard bei Vodafone nur per IPv6 geht, könnte ich evtl. IPv6 am Telekom Anschluss deaktivieren. Ausgereift scheint mir IPv6 bei dynamischen Präfixen nicht zu sein. Das nervt etwas, dass die Provider da nicht einfach, wie es sich gehört, feste Präfixe vergeben. Gibt ja keinen technischen Grund für den Murks, den die machen.
Evtl. doch mal mit mehreren virtuellen OPNsense testen, wie es sich da verhält.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Wireguard Multiwan (Failover)