haproxy Multi-WAN: Nicht über alle WAN geichzeitig erreichbar

[opns_neuling]

Hallo @community,
Ich sehe den Wald vor lauter Bäumen nicht!

opnsense HA mit 2 WAN Interfaces
Haproxy mit https proxing zu Web Servers im DMZ Bereich.
Alles soweit OK.

Das Problem:
WAN1 anpingbar (von aussen) und "https://xxx"  ist erreichbar
WAN2 anpingbar (von aussen) und "https://xxx"  ist NICHT erreichbar

Anfragen über WAN2 werden über WAN1 geantwortet und NICHT über WAN2 (bestätigt mit Packet Capture) !!!
WAN1 z.Z. Default Gateway (active)


Hinweis:
1) ein netstat -ln bestätigt das den port 443 auf beide WAN Schnittstellen läuft's
2) firewall logs zeigen dass die ports nicht blockiert sind und Daten/Anfragen ankommen.
3) Bei beide WAN's (WAN1 und WAN2) sind als Gateway (ganz unten) die entsprechenden Gateways eingetragen.
4) Unter Firewall ‣ Settings ‣ Advanced: Sticky Connections ist gesetzt.
5) Unter Firewall ‣ Settings ‣ Advanced: Disable force gateway ist gesetzt.
6) Beide Gateway zu jeder WAN haben die Option "Upstream" aktiviert.


Tips ? Hint's ?
Vielen Dank im Voraus ...

[Patrick M. Hausen]

Ja klar - Du hast ja erst mal nur eine Default-Route. Und da gehen die Pakete dann raus. Wenn der Provider ein ordentliches Unicast RPF macht, war's das dann.

Es gibt bei der Regel dann irgendeinen Knopf für den Next-Hop genau für die Pakete. Guck mal, oder warte, bis sich jemand meldet, der mehr Plan von Details an dieser Stelle hat als ich.

[opns_neuling]

Es klingt nach eine Erklärung / Lösung ... ich finde es gerade aber noch nicht ...
Also ich warte auf ein Stichwort 

[mimugmail]

Unter Interfaces : WAN, haben beide ganz unten Upstream Gateway was drin oder auto-detect?

[opns_neuling]

Hi !
Bei beide WAN's (WAN1 und WAN2) sind als Gateway (ganz unten) die entsprechenden Gateways eingetragen.
Grüße

[mimugmail]

Dann musst du erst Mal via packet capture schauen ob das wirklich so ist

[opns_neuling]

Hi!
Anfragen über WAN2 werden über WAN1 geantwortet und NICHT über WAN2 (bestätigt mit Packet Capture) !!!

[mimugmail]

Und bei Ping ist das aber nicht so, korrekt?

[opns_neuling]

richtig !
Ping von aussen läuft's einwandfrei bei beiden WAN's:-)

[Patrick M. Hausen]

Mit tcpdump bestätigt, dass die echo replies auch zum richtigen Interface wieder rausgehen?

[mimugmail]

Das wundert mich ehrlich gesagt, ich kanns aber auch nicht nachstellen, hab grad keine Isntallation mit Dual WAN zum spielen da.

[opns_neuling]

Guten Morgen !
Das hier war das Problem !!!

Zitat auf die Dokumentation:
For multiwan setups be careful with groups, since groups are not bound to a specific interface, they will use the normal routing system to determine the next hop when applied on WAN type interfaces (reply-to is not used here).

Die Firewall Rules aus die WANGRUPPE pro WAN Interface im Firewall kopiert und siehe da, es läuft :-)

[Patrick M. Hausen]

Kaum macht man's richtig, schon geht's 

[mimugmail]

Guten Morgen !
Das hier war das Problem !!!

Zitat auf die Dokumentation:
For multiwan setups be careful with groups, since groups are not bound to a specific interface, they will use the normal routing system to determine the next hop when applied on WAN type interfaces (reply-to is not used here).

Die Firewall Rules aus die WANGRUPPE pro WAN Interface im Firewall kopiert und siehe da, es läuft :-)

Hast du davon einen Screenshot?

[opns_neuling]

Welche screenschots  möchtest du gern ?