Aussetzer nach dem Einrichten einer Gateway Gruppe (Multi WAN)

[klausdude]

Hallo zusammen,

nachdem ich meine zwei WAN-Schnittstellen zu einer Gruppe zusammengefasst und das ganze gem. der offiziellen Doku eingerichtet habe, erhalte ich immer wieder kurze Aussetzer beim Reload. Websites laden nicht (bzw. die Adresse kann nicht aufgelöst werden) - nach ein paar Sekunden bzw. einem Reolad geht es dann (für kurze Zeit) wieder rasend schnell.

Meine Architektur ...

Fitlet 2 mit 4 Ethernet-Schnittstellen

WAN 1 - VDSL DHCP (via FritzBox)
WAN 2 - Vodafone Kabel DHCP (via FritzBox)
LAN 1 - 192.168.1.1/24
LAN 2 - 192.168.3.1/24

Anfangs hatte ich immer nur WAN 1 genutzt (Default mit hoher Prio), WAN 2 war zwar angeschlossen, jedoch wurde noch nicht genutzt.
 
Woran könnte das liegen?

vg,
Klaus

[micneu]

kannst du mal einen netzwerkplan zeichnen, ich verstehe gerade nicht wie das bei dir mit dem LAN1 und LAN2 zu tun hat. Bitte mal ein Bildschimrfoto von System --> Settings --> Gerneral, wenn du den unbound  dns nutz bitte auch mal die konfig. Ich bin mir gerade nicht mehr sicher, es gab mal sowas wie sticky bit, bedeutet das der client sollange die die verbindung verfügbar ist nimmt er die weiter. finde nur gerade den punkt nicht wo es konfiguriert wird

[klausdude]

... Hier kommt der Screenshot - die "Sticky Connections" habe ich aktiviert.

[klausdude]

... und hier noch die "Unbound"-Settings.

[klausdude]

Und noch ein Netzwerkplan:

Fitlet2 mit 4 Ethernet-Schnittstellen
WAN 1 - VDSL (DHCP)
WAN 2 - Vodafone Kabel (DHCP)
Am ersten LAN Port (LAN 1) hängt ein 8-Port Cisco Meraki Switch
Am zweiten LAN Port (LAN 2) hängt ein UniFi 8-Port Switch

Das Verhalten ist nach der Umstellung schon sehr komisch. Manchmal geht gar nichts, dann wieder alles sehr schnell.
Vor der Aktivierung der verschiedenen Schritte für Multi WAN lief wie erwähnt alles einwandfrei.

Lieben Dank für Eure Hilfe.

[aeschma]

Hi,

bin gerade ebenfalls an meinem Multi WAN Setup am verzweifeln.

Wenn ich es richtig verstanden habe musst du wenn du unbound verwendest unter System-> Settings -> General kein DNS eintragen. Er soll ja unbound verwenden.

Weiterhin sollte sticky connections an sein, da er anders u.U. über nen anderen WAN rausgeht und das Routing nicht mehr passt. (Muss Verbindung zu externem Dienst neu aufbauen ....)

Routest du von LAN1 zu LAN2? Hast du die DNS Firewall Regel auf der Ip Adresse der Opnsense im entsprechenden Subnetz?
Verwendest du irgendwas an IDS/IPS was nur auf ein GW eingestellt ist?


Ich hänge momentan daran das bei mir die Verbindung über WAN GW Group langsamer ist als die "Einzelverbindungen" und z.B. Netflix ruckelt obwohl es bei jedem Single GW flüssig läuft; hier vermute ich ebenfalls ein "Routing" oder "Balancing" Problem.

-> Wie gesagt bei mir läuft es auch noch nicht wie es soll ....

[mimugmail]

Wenn was beim ersten mal nicht geht oder am Anfang langsam ist, ist es meistens DNS.
Also entweder fehlt dir Step 5 vom Howto, oder die Clients können kein DNS auflösen

[klausdude]

... ich denke auch, dass ich irgend etwas mit dem DNS falsch mache, evtl. auch mit dem LAN 2.

Ich habe dort ein paar Geräte angeschlossen, u.a. einen Unifi Switch und einen Access Port. Beides wird aber auch nicht mehr erkannt.
Muss ich die Rules dort analog zu denen im ersten LAN setzen (Step 4 und 5 der Anleitung)?

Bei "System - Settings - General" habe ich unterschiedliche DNS-Einträge für die beiden WAN Gateways - steht so auch bei Schritt 3 in der Anleitung.

[aeschma]

Ja musst du ...

Ich habe 8 VLANs, weswegen ich mir ein RFC 1918 Alias gebaut hab ....

Code: [Select]

IPv4 * * * ! RFC1918 * WANGWGROUP * Load Balancing
Das ist meine erste Firewallregel, welche den kpl. Traffic der nicht für lokale Netze bestimmt ist zur GW Group leitet.
Der Rest (lokaler Traffic) schick ich dann zum "default" GW.

Bin mir aber nicht sicher ob es nicht performanter ist die Netze einzeln "abzugreifen" und dafür halt 8 Regeln dann zu haben...

Habe ewig gebraucht bis ich meinen unbound fehler gefunden hatte: Ich btreibe ein Split-DNS weswegen ich noch mein LAN in unbound als ausgehendes Interface einstellen musste.

Edit: Habe aber immer noch ein Fehler in meiner Konfig; Er zeigt mir noch ein nicht existierendes WAN GW unter Firewall Rules an, welches unter Interfaces nicht aufgeführt wird....

[aeschma]

Update:
Habe bei einigen Geräten ebenfalls DNS Probleme bekommen, bei den anderen vermute ich mal das da noch Cache aktiv war. Jetzt hab ich in jedem VLAN vor der oben erwähnten Regel noch die DNS Regel aus dem Tutorial. Jetzt scheint es zu laufen.

Code: [Select]

IPv4 TCP/UDP * * This Firewall 53 (DNS) * *


[klausdude]

... ich habe jetzt noch den "Forwarding Mode" beim Unbound aktiviert - aber leider keine gravierende Änderung.

[aeschma]

Forwarding Mode hab ich deaktiviert.

Scheint jetzt bei mir alles zu funktionieren, bis auf die zusätzliche WAN Schnittstelle bei den Firewall-Rules.

Benutzt du DNS TLS oder so was. Welche DNS Server benutzt du? Was sagt dig?

[klausdude]

Auslöser ist bei mir immer das Aktivieren der WANGWGROUP und das Einsetzen in die "Allow any"-Rule. Danach kommen die DNS-Problem.
Interessant ist auch, dass dann gleichzeitig die Einwahl über Wireguard-VPN nicht mehr funktioniert.

[aeschma]

Läuft zwar bei mir auch noch nicht rund ... aber wenn ich raten sollte würde ich nicht auf die Allow Any Rule als Auslöser tippen sondern auf Wireguard. Hab auch einige Posts gelesen zu Unbound DNS Problemen und OpenVPN.

[mimugmail]

Äh, hast du bei Wireguard was in den DNS Einstellungen gesetzt? Das Feld sollte leer bleiben wenn du Unbound nutzen willst