haproxy Multi-WAN: Nicht über alle WAN geichzeitig erreichbar

Started by opns_neuling, December 02, 2020, 04:32:42 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
December 02, 2020, 04:32:42 PM Last Edit: December 03, 2020, 10:00:56 AM by opns_neuling
Hallo @community,
Ich sehe den Wald vor lauter Bäumen nicht!

opnsense HA mit 2 WAN Interfaces
Haproxy mit https proxing zu Web Servers im DMZ Bereich.
Alles soweit OK.

Das Problem:
WAN1 anpingbar (von aussen) und "https://xxx"  ist erreichbar
WAN2 anpingbar (von aussen) und "https://xxx"  ist NICHT erreichbar

Anfragen über WAN2 werden über WAN1 geantwortet und NICHT über WAN2 (bestätigt mit Packet Capture) !!!
WAN1 z.Z. Default Gateway (active)


Hinweis:
1) ein netstat -ln bestätigt das den port 443 auf beide WAN Schnittstellen läuft's
2) firewall logs zeigen dass die ports nicht blockiert sind und Daten/Anfragen ankommen.
3) Bei beide WAN's (WAN1 und WAN2) sind als Gateway (ganz unten) die entsprechenden Gateways eingetragen.
4) Unter Firewall ‣ Settings ‣ Advanced: Sticky Connections ist gesetzt.
5) Unter Firewall ‣ Settings ‣ Advanced: Disable force gateway ist gesetzt.
6) Beide Gateway zu jeder WAN haben die Option "Upstream" aktiviert.


Tips ? Hint's ?
Vielen Dank im Voraus ...



December 02, 2020, 04:40:02 PM #1
Ja klar - Du hast ja erst mal nur eine Default-Route. Und da gehen die Pakete dann raus. Wenn der Provider ein ordentliches Unicast RPF macht, war's das dann.

Es gibt bei der Regel dann irgendeinen Knopf für den Next-Hop genau für die Pakete. Guck mal, oder warte, bis sich jemand meldet, der mehr Plan von Details an dieser Stelle hat als ich.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 02, 2020, 05:29:49 PM #2
Es klingt nach eine Erklärung / Lösung ... ich finde es gerade aber noch nicht ...
Also ich warte auf ein Stichwort  :)
December 02, 2020, 08:21:26 PM #3
Unter Interfaces : WAN, haben beide ganz unten Upstream Gateway was drin oder auto-detect?
December 02, 2020, 11:58:10 PM #4
Hi !
Bei beide WAN's (WAN1 und WAN2) sind als Gateway (ganz unten) die entsprechenden Gateways eingetragen.
Grüße
December 03, 2020, 06:02:31 AM #5
Dann musst du erst Mal via packet capture schauen ob das wirklich so ist
December 03, 2020, 10:00:37 AM #6
Hi!
Anfragen über WAN2 werden über WAN1 geantwortet und NICHT über WAN2 (bestätigt mit Packet Capture) !!!
December 03, 2020, 10:02:43 AM #7
Und bei Ping ist das aber nicht so, korrekt?
December 03, 2020, 01:41:32 PM #8
richtig !
Ping von aussen läuft's einwandfrei bei beiden WAN's:-)
December 03, 2020, 03:15:04 PM #9
Mit tcpdump bestätigt, dass die echo replies auch zum richtigen Interface wieder rausgehen?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 03, 2020, 04:13:55 PM #10
Das wundert mich ehrlich gesagt, ich kanns aber auch nicht nachstellen, hab grad keine Isntallation mit Dual WAN zum spielen da. :(
December 04, 2020, 10:12:54 AM #11
Guten Morgen !
Das hier war das Problem !!!

Zitat auf die Dokumentation:
For multiwan setups be careful with groups, since groups are not bound to a specific interface, they will use the normal routing system to determine the next hop when applied on WAN type interfaces (reply-to is not used here).

Die Firewall Rules aus die WANGRUPPE pro WAN Interface im Firewall kopiert und siehe da, es läuft :-)
December 04, 2020, 10:27:55 AM #12
Kaum macht man's richtig, schon geht's  :)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 04, 2020, 10:50:43 AM #13
Quote from: opns_neuling on December 04, 2020, 10:12:54 AM
Guten Morgen !
Das hier war das Problem !!!

Zitat auf die Dokumentation:
For multiwan setups be careful with groups, since groups are not bound to a specific interface, they will use the normal routing system to determine the next hop when applied on WAN type interfaces (reply-to is not used here).

Die Firewall Rules aus die WANGRUPPE pro WAN Interface im Firewall kopiert und siehe da, es läuft :-)

Hast du davon einen Screenshot?
December 04, 2020, 01:35:30 PM #14
Welche screenschots  möchtest du gern ?
Print
Go Up Pages1 2
User actions