Vodafone CABLE + 1&1 DSL DualWAN Failover Fragen

[0zzy]

Moin Jungs und Mädels,

habe heute das VF CABLE an in die OPNSense integriert.
Wenn ich es richtig gemacht habe war das echt verdammt einfach.

Habe mich exakt an die Anweisungen der OPNSense bzgl. MultiWAN gehalten.

Nun verstehe ich folgendes nicht:

1.)
WAN (1&1) bekommt laut Doku die 8.8.4.4
WAN2 (VF Cable) die 8.8.8.8

Wozu genau sind die (ich nehme an Google DNS IPs) gedacht?

2.)
Brauche ich bei Cable keine Zugangsdaten?

3.)
Nutzen dann je nach Tier Set im Failover beide den gleichen DNS (Unbound)?
Da die Google IPs ja auch lt. Dokumentation in System ‣ Settings ‣ General hinterlegt werden, wird doch Unbound damit deaktiviert oder?

4.) gibt es auch die Möglichkeit beide WANs gleichzeitig zu betreiben?

freue mich, wie immer auf antworten.

[Maurice]

1.) Die sind für das Monitoring. WAN1 pingt kontinuierlich die 8.8.4.4, WAN2 die 8.8.8.8. Failt der Ping, dann wird das entsprechende WAN als down betrachtet. Du kannst auch beliebige andere IP-Adressen verwenden, jedes WAN benötigt aber eine eigene.

2.) Nein, das Kabelmodem hat eine eindeutige Seriennummer, die zur Authentifizierung verwendet wird. Als User machst Du nur DHCP.

3.) Die unter System: Settings: General eingetragenen DNS-Server werden im Normalfall nur von OPNsense selbst verwendet. Unbound bleibt als rekursiver Resolver aktiv und wird von den Hosts in den LANs verwendet, sofern Du nicht explizit etwas anderes konfigurierst. Soll auch OPNsense selbst ausschließlich Unbound verwenden, dann unter System: Settings: General nichts eintragen.

4.) Ja, z. B. indem Du beiden das gleiche Tier gibst, dann findet Load Balancing statt. Auch kannst Du z. B. bestimmte Dienste, Hosts, Netze, ... über ein bestimmtest WAN routen (mittels entsprechender Firewall-Regeln).

Grüße
Maurice

[0zzy]

@Maurice nice. Danke für deine Antworten.
zu
1.) ok also dort den DNS meines Vertrauens als Monitoring PING --> check,

2.) interessant, also ist das Gerät sogesehen an einem RADIUS o.ä. System hinterlegt sodass man keine Zugangsdaten benötigt , hoffe das verstehe ich so richtig?,

3.) Gut war ein wenig verwirrt warum das so in der Doku steht, würde wahrscheinlich mehr sinn machen zwei OPNSenes als FO zu betreiben mit Unterschiedlichen IPs, dann könnte man die dort gegenseitig eintragen oder?
Hab die erst mal weg gelassen, ich find Unbound angenehm, erspart mir ne menge unnützen traffic,

4.) LB würde wenn ich das richtig verstehe ja nur sinn machen wenn beide Leitungen gleich schnell sind, ansonsten wäre es Unequal Balancing wo ich Weight einstellen müsste, heisst also insofern richtig interpretiert und verstanden wenn ich nun eine Leitung mit 200 Mbps und eine mit 1Gbps habe müsste die 200er auf 1 und die 1Gbps auf 2 damit die 1Gbps bevorzugt behandelt wird oder?

Im moment spinnt das sowieso und ich komme nicht dahinter warum.

Ich würde es aktuell gern so haben, das hauptsächlich die Cable 1Gbps bevorzugt genutzt wird, allerdings die DSL 200Mbps nur für die Telefonie, ist das machbar?
Wahrscheinlich über Firewallregeln wenn ich raten müsste oder?

[Maurice]

1.) Das müssen keine DNS-Server sein. Einfach irgendwelche Hosts, die zuverlässig auf Pings antworten.

2.) Ja richtig. Kaufst Du ein neues Kabelmodem, dann musst Du dessen Seriennummer deinem Provider mitteilen. Die wird dann dort statisch deinem Account zugeordnet.

3.) Die Doku ist nicht in jeder Hinsicht perfekt und vollständig.

4.) Für Load Balancing (egal ob equal oder unequal) müssen die Gateways auf jeden Fall in das gleiche Tier. Die Gewichtung (Weight) stellst Du dann ggfs. direkt in den Eigenschaften der Gateways ein. Load Balancing ist aber immer ein Kompromiss mit Tücken.

5.) Ja, das geht. Dazu benötigst Du auch keine Gateway Group. Einfach das Cable-Gateway auf Priorität 1 stellen und das DSL-Gateway auf Priorität 2, außerdem Default Gateway Switching aktivieren. Dann wird alles über Cable geroutet, es sei denn, dieses ist down. Telefonie über DSL machst Du dann über eine Firewall-Regel mit explizit gesetztem DSL-Gateway, richtig (policy-based Routing).

[0zzy]

@Maurice 1-4 hab ich verstanden.
5.) ab ich umgestellt wie du sagtest:

WAN2 (Cable) steht auch auf active, allerdings sagt mir mein Speedtest das immer noch die lahme DSL genutzt wird.

Priority ist bei WAN2 (Cable) auf 253 gesetzt, Weight 1
Priority ist bei WAN (DSL) auf 255 gesetzt; Weight 2

Hast du einen Tip was ich eventuell falsch gemacht habe?

ich habe Default GW Switching mal deaktiviert und wieder aktiviert bringt allerdings keine änderung.

[Maurice]

Prioritäten passen so, Weight spielt ohne Gateway Groups keine Rolle.
Schau mal unter System: Routes: Status, ob das default Gateway das WAN2 ist. Falls ja: Bestehende Verbindungen (Firewall States) bleiben bei einem default Gateway Switch erhalten, solange das vorherige default Gateway noch online ist. Ggfs. mal OPNsense neu starten.

[0zzy]

@Maurice
Unter System: Routes: Status ist WAN2 (Cable) das Default Gateway.
Leider, auch nach Neustart der Sense keine Besserung, der Durchsatz ist nach wie vor unterirdisch (liegt bei etwa 90Mbps wo an und für sich ~1000Mbps sein sollten).
Bei der ersten Einrichtung hatte das auch funktioniert, da lag der Durchsatz bei ~980Mbps.

Hab ich noch einen Denkfehler?
Ich habe das Default Gateway unter LAN auch mal auf WAN2 gesetzt, bringt allerdings auch keine Verbesserung.
Noch Ideen (und bitte nicht schon wieder neuinstallierten, das hab ich die nacht bereits 4 x durch, daran kann es nicht liegen, habe zweimal mit Backup einspielen probiert, die anderen zweimal ohne, jeweils das selbe verhalten) ?


Ok es war ein Denkfehler!
Hatte in der Fritte die Energieoptionen auf MAX gesetzt damit sind die LAN Ports 2-4 nur auf 100Mbps beschränkt.
Oh man solche Kleinigkeiten sind zum Mäusemelken.

Was mich jetzt noch wurmt ist, das ich nur eine link local ipv6 Adresse. Hm mal probieren ob DHCPv6 überhaupt die richtige Option ist.

[Maurice]

WAN2 auf DHCPv6 mit Prefix Delegation ist korrekt. Vodafone vergibt üblicherweise /59, das musst Du dort auch einstellen.
Beim LAN IPv6 dann auf Track Interface stellen und das WAN2 auswählen.

[0zzy]

@Maurice hab /64 eingestellt scheint aber zu funktionieren...
Bin grad ein wenig verwirrt, funktioniert ebenso mit /56 und /59
Muss das so?
Abgesehen davon auch ein eventuell nicht ganz unlogisches verhalten:
setze ich das Prefix auf /5x und dem LAN Interface wie du schriebst WAN2 für das ipv6 Tracking der Schnittstelle, ist mein AP Tot.
Macht auch aktuell keinen Sinn da ich über die lahme 1und1 Leitung noch telefoniere, muss dementsprechend ja auch WAN und nicht WAN2 sein denke ich, mag mich aber auch täuschen.
Jedenfalls hab ich heute sowas die schnauze voll gehabt und einfach ein funktionierendes Backup wiedereingespielt, WIFI wieder da, danach WAN2 konfiguriert mit /64er Prefix und nun läuft es erst mal.
Zum Mäusemelken ist das

[Maurice]

Die Prefix Delegation Size der WAN-Interfaces sollte schon korrekt eingestellt werden. Das tatsächlich erhaltene Präfix ist unter Interfaces: Overview: WAN1 / WAN2 zu sehen, von dort den Wert einfach übernehmen.

IPv4 und IPv6 sind unabhängig voneinander. Eigene Gateways, eigene Firewall-Regeln. Du kannst also z. B. auch IPv4 über WAN1 routen und IPv6 über WAN2. Wichtig ist nur, dass das vom LAN-Interface getrackte WAN-Interface auch das mit dem IPv6 Default Gateway ist. IPv6-Adressen von WAN1 können nicht über WAN2 geroutet werden, und anders herum.