MultiWAN einrichten, Load Balancing einrichten

[spooner.arthur]

Hallo Zusammen,
ich hab auf einer OPNsense MulitWAN eingerichtet.
Zuerst mit zwei PPPoE Verbindungen von der Telekom.
Leider hatten dann beide Verbindungen, das gleiche Gateway.
Das ging gar nicht.

Dann habe eine Verbindung auf dem Allnet Modem als PPPoE eingerichtet und in der OPNsense das Allnet als Gateway eingetragen.
So habe ich zwei verschiedene Internetverbindungen für die OPNsense.
Alles OK.

Dann habe ich den Load Balancer eingerichtet.
und die Firewallregeln angepasst.
Auch das ist noch OK.

Aber gefühlt ist jetzt alles etwas langsamer als vorher.
Ich hatte vorher nur eine Internetverbindung, weil es Probleme mit den Zugangsdaten der zweiten Verbindung gab.

Verbindung 1 hat 30 MBit
Verbindung 2 hat 10 MBit

Bei der 30iger habe ich Weight 3 und bei der 10ner Weight 1

Hab es alles quasi wie in folgender Anleitung eingerichtet:
https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-multi-wan-einrichten/

Hab ihr vielleicht eine Idee oder Tipp was man bei MultiWAN beachten muss?

Danke, Gruß Arthur

[micneu]

Auf was für einer Hardware läuft deine Sense und hat diese Realtek Netzwerk Hardware verbaut?


Gesendet von iPhone mit Tapatalk Pro

[spooner.arthur]

Auf einer Protectli Appliance mit Intel NICs läuft die OPNsense.
Von der CPU Auslastung oder RAM ist laut Dashboard alles OK.

[knebb]

Das hier ist die offizielle Doku. Ich hatte es auch zuerst mit anderen versucht, aber diese ist korrekt und auch nicht veraltet etc. Halte Dich GENAU an die Anweisungen dort, dann sollte es eigentlich funktionieren.

Wie hast Du denn zwei DSL-Leitungen bekommen? Läuft das beides über die gleiche Doppelader? Könnte es sein, dass die sich dabei stören?

[JayTee75]

Endlich habe ich MuliWAN (bisher ohne Probleme) für IPV4/IPV6 laufen.

WAN1 - pppoe0 ist Telekom DSL
WAN2 - pppoe1 ist Lokale Glasfaser über Fibertwist

Ich habe alles nach dieser externen Anleitung (https://telekomhilft.telekom.de/conversations/festnetz-internet/ipv6-multiwan-l%C3%B6sungsansatz/66bbaf45389f9f597b09866f?commentId=66bbafbf389f9f597b0d8283) konfiguriert.

Diese Anleitung ist für statische IPV6-Prefixe gemacht, also musste ich etwas optimieren und es fehlten zwei Punkte.

I. Prefix Wechsel --> NPTv6 merkt nichts

Dazu als root auf die bash der OPNSense per ssh.

a) Prefix-Wechsel mitbekommen
Hierzu die Datei für eure zwei WAN-Schnittstellen anpassen --> $wan_interfaces = ['pppoe0', 'pppoe1'];

Diese Datei unter /usr/local/opnsense/scripts/ ablegen und mit chmod +x update_nptv6_cron.php Ausführungsrechte geben.


b) CRON Job zum aktualisieren NPTV6

Hierzu nutze ich ein Skript und eine Cron-Job, da NPTv6 keinen Wechsel des IPV6-Prefix der Anbieter mitbekommt und NPTv6 aktualisieren lässt.

Dort im Verzeichnis /usr/local/opnsense/service/conf/actions.d die Datei actions_nptv6_refresh.conf ablegen.

c) CRON Job in GUI anlegen

Ggfs. OPNSense einmal Neustarten, dann ist unter System->Settings->Cron die Möglichkeit einen Cron-Job anzulegen
You cannot view this attachment.
Hiermit wird das prüfen alle 5 Minuten ausgeführt.

II. Firewall - LAN to Any anpassen

Damit MultiWAN genutzt wird, muss das Gateway für ausgehende Verbindungen (z.B. LAN-to-Any) noch auf eure Gateway-Gruppe gesetzt werden. Vermutlich wie bei mir für jeweils IPV4 und IPV6.

You cannot view this attachment.

Die gilt natürlich auch bei Bedarf für andere Regeln.

III. MTU Probleme

Nach Punkt I und II lief eigentlich schon alles recht gut. Jedoch merket ich das einige Webseiten nicht erreichbar waren. Ich hab mehre Tage LOG-Dateien gelesen, Firewall Regeln angepasst. Alles ohne Erfolg. Dann bin ich auf Probleme mit "curl" in anderer Foren gestossen, die von Problemen mit MTU Werten berichteten.

Im OPNSense Forum wurde ich dann auch fündig: [GELÖST]bestimmte Website lädt nicht - IPv4 OK, Dual-Stack n. OK

Danach an WAN1, WAN2 und LAN den MTU Wert auf 1492 gesetzt und meine Probleme mit MultiWAN waren passé.

[meyergru]

Die MTU-Probleme kannst Du eventuell auch so lösen: https://forum.opnsense.org/index.php?topic=45658.0

Tatsache ist, dass bei manchen Gegenstellen die PMTU discovery nicht funktioniert. Dann musst Du die korrekte MTU haben. Das geht in - absteigender subjektiver Präferenz - mittels:

1. Die WAN-MTU trotz PPPoE- und VLAN-Overhead auf die "übliche" Größe von 1500 bytes bringen (siehe obige Anleitung). Funktioniert leider nur "meistens", je nach ISP.

2. MSS-Clamping in der OpnSense konfigurieren, damit ggf. am WAN die Pakete auf die korrekte Größe gebracht werden. Funktioniert auch nur manchmal.

3. Die kleinste mögliche MTU auf allen Schnittstellen konfigurieren (wie Du es gemacht hast) und darauf hoffen, dass kein LAN-Client die Standardgröße von 1500 Bytes verwendet (Windows macht da ein Auto-Tuning).

[JayTee75]

Danke für die MTU Tipps! Werde Deine 2 Punkte auch mal testen. Lerne jeden tag dazu ;-)