Umrouting über statische Routen beim Ausfall eines Gateway

Started by Doerchi, January 09, 2025, 04:06:36 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
January 09, 2025, 04:06:36 PM
Hallo,
meine OPNsense hat zwei Gateways mit jeweils einem aktivierten Monitoring.
Jetzt habe ich zwei gleiche statische Routen auf die jeweiligen GW gesetzt.
Fällt ein GW aus, zeigt die OPNsense den Status des GW auch als Down an, die entsprechende statische Route bleibt aber aktiv und somit kann die zweite gleiche Route nicht aktiv werden.
Hat einer eine Erklärung dafür?
January 09, 2025, 04:44:17 PM #1
Quote from: Doerchi on January 09, 2025, 04:06:36 PMmeine OPNsense hat zwei Gateways mit jeweils einem aktivierten Monitoring.
Zusätzlich zum Default Gateway, also nicht auf dem WAN?

Quote from: Doerchi on January 09, 2025, 04:06:36 PMJetzt habe ich zwei gleiche statische Routen auf die jeweiligen GW gesetzt.
Was genau ist der Sinn?
Sollen LAN-Geräte für bestimmte Ziel-IPs auf die Gateway geroutet werden? Wenn das eine nicht verfügbar ist, über das andere?
January 09, 2025, 05:18:52 PM #2
Quote from: viragomann on January 09, 2025, 04:44:17 PM
Quote from: Doerchi on January 09, 2025, 04:06:36 PMmeine OPNsense hat zwei Gateways mit jeweils einem aktivierten Monitoring.
Zusätzlich zum Default Gateway, also nicht auf dem WAN?

Nein, ich meine die Default Gateway, also die beiden WAN-Interface

Quote from: Doerchi on January 09, 2025, 04:06:36 PMJetzt habe ich zwei gleiche statische Routen auf die jeweiligen GW gesetzt.
Was genau ist der Sinn?
Sollen LAN-Geräte für bestimmte Ziel-IPs auf die Gateway geroutet werden? Wenn das eine nicht verfügbar ist, über das andere?
Ja, so ist es. Genau gesagt, baue ich über eine LoO einen IP-Sec zu einer Gegenstelle mit einer festen IP-Adresse auf und wenn der eine WAN down ist, soll der IPSec automatisch über das andere WAN gehen.
( Es soll halt aller Traffic in den IPSec Tunnel gehen und daher habe ich die Default Route in den IP-Sec gesetzt und den IPSec Hup möchte ich über die beiden gleichen statischen Routen erreichbar machen )
January 09, 2025, 05:34:13 PM #3
IPSec läuft vermutlich auf OPNsense, also ist es kein LAN-Gerät, das die Gateways nutzen soll. Das könnte mit Policy-Routing erledigt werden.

Für deinen Zweck, sollte es aber reichen, System: Settings: General "Gateway switching" zu aktivieren.
Erfahrung habe ich damit selbst aber noch nicht.
January 10, 2025, 07:56:05 AM #4
Moin und Danke für die Rückmeldung,
Danke für den Tip, das hatte ich tatsächlich auch schon gesehen und aktiviert, aber hat leider nichts geändert.
Unter System > Gateways > Configuration > zeigt die OPNsenses den Status des entsprechenden GW auch als Offline an.
Die statische Route die ich auf das Gateway konfiguriert habe, verschwindet aber nicht.
( Als weiteres Phänomen sehe ich, das wenn man zwei gleiche statischen Routen auf unterschiedliche GW anlegt, nicht die Metrik des GW als Routingentscheidung genommen wird, sondern die Reihenfolge der statischen Routen. Die letzte konfigurierte Route ist die aktive )
Fragt man die Routen über die CLI netstat -rn ab, ist auch das U Flag für Up vorhanden
January 10, 2025, 08:27:57 AM #5
Mit OSPF geht das recht einfach und stabil.

https://docs.opnsense.org/manual/how-tos/dynamic_routing_ospf.html
Hardware:
DEC740
January 10, 2025, 08:46:49 AM #6
ja, aber dann müßte ich ja die Routen über OSPF announcen und bräuchte noch ein weiteres Systemen.

Ich glaube ja einfach nur, das ich irgendwo ein Haken vergessen habe, oder das es einfach ein Bug ist, das die statische Route nicht verschwindet, wenn das entsprechende GW down ist. ( Ist ja auch schon komisch, das die Metriken vom GW nicht auf die statischen Routen übertragen werden )
January 10, 2025, 09:12:25 AM #7
Es kann keine zwei default Routen im gleichen Routing Table geben. Die müssen dort dynamisch eingesetzt werden. Das kann das dynamische Routing Plugin.

Ich verstehe nicht warum es noch weitere Systeme braucht. Wenn die Gegenstelle nicht irgendeine Fritzbox/Speedport ist dann wird OSPF höchst wahrscheinlich unterstützt.
Hardware:
DEC740
January 10, 2025, 09:17:36 AM #8
Quote from: Doerchi on January 10, 2025, 07:56:05 AMDie statische Route die ich auf das Gateway konfiguriert habe, verschwindet aber nicht.
Warum braucht es überhaupt statische Routen, wenn die beiden Gateways ohnehin Upstream Gateways sind?
January 10, 2025, 09:26:29 AM #9
Quote from: viragomann on January 10, 2025, 09:17:36 AM
Quote from: Doerchi on January 10, 2025, 07:56:05 AMDie statische Route die ich auf das Gateway konfiguriert habe, verschwindet aber nicht.
Warum braucht es überhaupt statische Routen, wenn die beiden Gateways ohnehin Upstream Gateways sind?

Weil die Default-Route in den Tunnel zeigen soll.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 10, 2025, 09:32:27 AM #10
Soweit ich das Verstanden habe, geht es da ja um die Remote-Gateway für die IPSec, nicht um die Default-Route, die IPSec beim Verbinden einrichtet.
January 10, 2025, 10:48:34 AM #11
Quote from: viragomann on January 10, 2025, 09:32:27 AMSoweit ich das Verstanden habe, geht es da ja um die Remote-Gateway für die IPSec, nicht um die Default-Route, die IPSec beim Verbinden einrichtet.
Ja, ich setzte die statischen Routen um das Remote-GW (Hub-Standort)  über beide Uplinks erreichen zu können. Und die Route soll halt immer über den gerade aktiven Uplink aktiviert sein.
Die default-Route 0.0.0.0/0 ist in den IPSec gesetzt, da halt der ganze Traffic der Lokation in den Tunnel gehen soll.
January 10, 2025, 11:21:11 AM #12
Ja, aber IPSec ist ja nicht vom Bootup weg aktiv. Wird die Verbindung gestartet, setzt IPSec die Routen und überschreibt ggf. existierende.
Also können auf den WAN Interface doch Upstream Gateways konfiguriert sein, die zum Tragen kommen, bevor IPSec aktiviert wird.
Falls das WAN via DHCP oder PPPoE konfiguriert wird, lässt sich das auch gar nicht verhindern.

Das Verhalten verbessern die statische Routen ja auch nicht. Die sind erst aktiv, dann wird IPSec gestartet und setzt neue Routen. Sie sind nur weniger flexibel.
January 10, 2025, 01:15:12 PM #13
Hi Viragomann,
vielleicht fehlt mir da etwas.
Da ich ja alles in den Tunnel routen möchte, muß ich eine Default-Route auf den Tunnel setzten. Somit routet die OPNsense allen Traffic (für den sie keinen besseren Weg kennt) in den Tunnel.
Mit den more specific static Routes will ich die "Default-Route" übersteuern, damit die OPNsense den IP-Sec Hub erreichen kann.
( Mein IPSec Tunnel ist Route-Based )
Und vom Routing Verständnis her müssen meine Lösung auch gehen, die OPNsense händelt meine statischen Routen nur leider nicht so, wie es ein Router macht :-)
January 10, 2025, 02:17:54 PM #14
Quote from: Doerchi on January 10, 2025, 01:15:12 PMDa ich ja alles in den Tunnel routen möchte, muß ich eine Default-Route auf den Tunnel setzten.
Ja, nachdem ich nun auch weiß, dass es sich um eine Routed IPSec handelt, kann ich da zustimmen.

Aber was spricht dagegen, dass die beiden anderen Gateways auch als upstream Gateway festgelegt werden?
Wenn gewünscht oder nötig, kannst du für jedes auch eine Priorität definieren, um festzulegen, welches bevorzugt wird und in welcher Reihenfolge.
Dann werden die Gateways entsprechend dessen und ihrer Verfügbarkeit automatisch verwendet (dynamisch).

Eine statische Route ist aber, wie der Name andeutet, statisch. Diese besteht auch, wenn das Gateway nicht erreichbar ist.
Print
Go Up Pages1 2
User actions