MultiWAN Routing

[achmo]

Hi all,
wir haben ein kleines Problem welches ich mir nicht erklären kann. Ich würde mich freuen, wenn jemand einen Tipp hätte:

Wir haben hinter OPNSense eine Vodafone und eine Telekom Leitung als MultiWAN Setup. Beide Tier1, Priorität 1 und 2, Gewichtung 1 und 5.
Die dominante Vodafone Leitung ist direkt per 30er Netz über zwei IPs angebunden. Die Telekom Leitung hängt an einer FritzBox (exposed host) mit einem 192.168.30.0/30 Netzwerk. Das klappt auch gut.

Wenn ich aber aus dem LAN die Fritzbox 192.168.30.1 ansprechen möchte ist diese nicht erreichbar, weil die Pakete durch die Vodafone Leitung ins falsche Netzwerk geroutet werden. "Private/Bogon Netzwerke blockieren" ist für beide Schnittstellen deaktiviert.

Wir kann ich das ändern?

[chemlud]

Um das Modem zu erreichen eine Outbound NAT rule für das richtige WAN mit Source (deinem Admin-Netz) und Destination der (Adresse/32) im /30 für das Modemnetz vielleicht?

[achmo]

Werde ich mal testen, aber eigentlich sollte das nicht notwendig sein, denn

- 192.168.30.1/30 (Fritzbox) und 192.168.30.2/30 (OPNSense) sind direkt verbunden. Pakete an die 192.168.30.1 sollten also durch die direkt verbundene Schnittstelle 192.168.30.2 abgegeben werden. Diese werden aber durch das andere Gateway mit der Vodafone Leitung geschickt.

- Ausgehende Pakete vom LAN nach aussen sollten doch immer frei sein.

[chemlud]

Vielleicht "Block private IPs" auf den WANs aktiv? Ach nee, war aus, laut OP.

[viragomann]

Werde ich mal testen, aber eigentlich sollte das nicht notwendig sein, denn

- 192.168.30.1/30 (Fritzbox) und 192.168.30.2/30 (OPNSense) sind direkt verbunden.

Nein, sollte es nicht. Doch es kommt auf deine Konfiguration an. Aber dies hätte auch nichts mit dem Routing zu tun.

Pakete an die 192.168.30.1 sollten also durch die direkt verbundene Schnittstelle 192.168.30.2 abgegeben werden. Diese werden aber durch das andere Gateway mit der Vodafone Leitung geschickt.

Ist das tatsächlich so? Hast du das überprüft mittels pcap od. Ähnlichem?
Wenn ja, dann hätte es ein Routing-Problem und ich würde mal die IP-Konfiguration der beteiligten Geräte überprüfen.

Ich gehe davon aus, dass die beiden WAN Gateways auf unterschiedlichen Interfaces eingerichtet sind?

[Patrick M. Hausen]

Leg doch mal auf LAN eine Regel an:

Source: LAN net
Destination: die Fritzbox
Gateway: explizit die Fritzbox als Gateway

und schieb die höher als alles andere, was für den Internet-Verkehr zuständig ist.

Ich vermute, dass dir hier einfach die Gateway-Priorisierung reinspuckt. Ich hab aber selbst kein Multi-WAN, daher nur so ungefähres Wissen, wie das funktioniert.

[achmo]

Ganz herzlichen Dank für die hilfreichen Tipps.

Ich habe (aus Verzweiflung ;-) ) den letzten Tipp einmal befolgt und eine LAN Regel an erster Stelle erstellt. Diese fixte das Routing, so das die Pakete für das Zwischennetz 192.168.30.0/30 auch durch das richtige GW die OPNSense verliessen. Das konnte ich mit PCAP, Traceoute und der Filter Liveansicht nachvollziehen. Verstehen tue ich dies weiterhin nicht; eine Route/Regel sollte wegen der direkten Schnittstelle 192.168.30.2 eigentlich nicht erforderlich sein. Aber gut.

Sehr wichtig ist in diesem Zusammenhang auch der "HINWEIS: Die Auswahl "Erlauben" funktioniert bei Multi-WAN nicht ordnungsgemäß. Sie funktioniert nur auf einer Schnittstelle, die das Standard-Gateway enthält. "  bei den NAT Filterregeln des MultiWAN. Diese standen für die entsprechenden Ports zwar auf die richtige Gruppenschnittstelle aber die Filterregel war noch auf "Erlauben" aus den Single WAN Zeiten. Hier muss unbedingt "Eine entsprechende Filterregel anlegen" ausgewählt sein.

Andernfalls funktioniert die eingehende Verbindung durch die Schnittstelle mit der höheren Prio einwandfrei aber durch die andere nicht. Hier erreichen die Pakete zwar auch Ihr Ziel, aber die Antwortpakete gehen ohne Hinweis oder Protokolleintrag auf der OPNSense verloren oder werden ebenso durch die falsche Schnittstelle geroutet.