Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Generelle Probleme mit Multi-WAN und 2+ aktiven Leitungen
« previous
next »
Print
Pages: [
1
]
Author
Topic: Generelle Probleme mit Multi-WAN und 2+ aktiven Leitungen (Read 726 times)
WIT-Jansen
Newbie
Posts: 4
Karma: 0
Generelle Probleme mit Multi-WAN und 2+ aktiven Leitungen
«
on:
July 06, 2023, 09:57:37 am »
Guten Morgen,
wir haben mittlerweile einige Business-OPNS im Einsatz und grundsätzlich Probleme bei besagtem Setup aus dem Titel.
Das größte Problem ist, wenn Traffic über eine Leitung geht, vor allem IPSec-Tunnel darüber aufgebaut werden, die Leitung kurzzeitig nicht erreichbar ist, das danach die Tunnel nicht wiederkommen. Erst wenn man manuell den Tunnel neustartet oder generell "Play" drückt, wird er wieder aufgebaut.
Es gibt aber auch Fälle, wo der allgemeine Traffic nicht über zweite Leitung geschickt wird und somit kein Internet effektiv vor Ort vorhanden ist. WAN-Gruppen für die Gateways sind angelegt aber auch hier gab es immer Probleme, dass z.B. Teamviewer keine Verbindungen aufgebaut hat und nur eine Firewallregel, die explizit ein Gateway verwendet, an der Stelle hilft.
Setups sehen normalerweise so aus:
Primäre Leitung für Internet/VPN, zweite Leitung Telefonie, beide permanent aktiv (gleiches Tier-Level bei den Gateways). Solange Leitung 1 aktiv ist, soll auch alles so aufgesplittet laufen, wenn Leitung 1 ausfällt, soll alles von 1 auf 2 ausweichen. Die 2 bleibt unangetastet weil Telefonie konkret über den z.B. Telekom-DSL laufen muss.
Beide Gateways haben ein Monitoring aktiv, sind als Upstream-Gateways markiert, Allow default gateway switching aktiv. Outbound-NAT sind beide Interfaces drin (Automatic), Sticky Connections aktiviert.
Gibt es grundlegende Einstellungen, die ich an der Stelle vergesse bzw. falsch verstehe?
Was auch auffällt in dem ganzen Konstrukt (liegt denke ich an den Stickys), wenn z.B. ein Dauerping auf 8.8.8.8 läuft, wir eine Leitung abziehen, der Umschwung tatsächlich funktioniert hat und andere Geräte ins Netz kommen, geht der Dauerping nicht durch. Beendet man den, wartet eine Zeit und startet neu, kann man wieder das Ziel anpingen. Bei anderen Firewall-Systemen schwenkt das binnen 1-2sek um und alles funktioniert wieder.
Falls jemand generell Infos bzw. Lösungen dazu hat, wäre ich sehr dankbar.
Grüße,
Mark
Logged
vpx23
Jr. Member
Posts: 91
Karma: 7
Re: Generelle Probleme mit Multi-WAN und 2+ aktiven Leitungen
«
Reply #1 on:
July 06, 2023, 07:05:44 pm »
Hallo Mark,
wir haben so ziemlich den gleichen Aufbau mit den Multi-WANs (1. Leitung Internet, 2. Leitung Cloud PBX) und Load-Balancing. Nur zusätzlich noch LTE und SAT im Tier 2 als Backup.
Bei dem Cloud PBX muss man ja zwingenderweise die Telekomleitung verwenden, weil die Telefone auf anderen Leitungen DNS-Query Fehler haben (tel.t-online.de ignoriert Anfragen von fremden Leitungen).
IPSec lief zu der Zeit noch nicht richtig, deshalb kann ich nicht sagen ob es einen Einfluss darauf hatte aber wir hatten Probleme mit Webbrowser, Teams, Outlook etc.
Wenn die Firewall die Leitungen wechselte waren die Verbindungen durch die "Sticky Connections" wohl noch auf der anderen Leitung und es ging alles erst nach ein paar Minuten wieder (Timeout?).
Erst hatte ich "Shared forwarding" deaktiviert, da ich gelesen hatte, dass es auch Probleme machen kann mit Multi-WAN, aber am Ende war es wohl das Deaktivieren von "Sticky connections" was die Verbindungsprobleme behoben hatte.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Generelle Probleme mit Multi-WAN und 2+ aktiven Leitungen