Hilfe bei OPNsense: WireGuard nutzt falsches WAN + Ping-Pong beim Failover

Started by D0bby, September 01, 2025, 12:05:11 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 01, 2025, 12:05:11 PM
Moin zusammen,

bin nach längerer Pause (Unifi) wieder bei OPNsense gelandet und habe inzwischen fast alles so umgesetzt, wie ich es mir vorgestellt hatte - zum Teil sogar mehr - und bin damit recht zufrieden.

Allerdings stoße ich aktuell an zwei Punkte, bei denen ich nicht so recht weiterkomme:


1. WireGuard und Gateway-Wahl

Ich nutze für mein Gäste-VLAN einen VPN-Tunnel über WireGuard, zusätzlich auch für einen meiner Server. Im Setup habe ich zwei WAN-Anschlüsse:

  • ein schnelles (Primär)
  • ein langsameres (Backup, aber dafür stabiler)

Das langsamere WAN war damals mein erstes Gateway. Sobald ich nun die Verbindung über WireGuard starte (also vom Router zum VPN-Provider), landet der Traffic in ca. 80 % der Fälle auf dem langsamen WAN.

Eigentlich möchte ich, dass er ausschließlich das schnelle WAN verwendet oder - falls möglich - meine konfigurierte Gateway Group. In dieser ist das schnelle WAN als Tier 1 hinterlegt, das langsame nur als Backup. Außerdem ist das schnelle als Upstream Gateway definiert und hat auch die niedrigere Metrik. Trotzdem scheint OPNsense nicht konsistent das richtige WAN zu nehmen. Gibt es da noch eine Einstellung, mit der ich WireGuard oder das Routing klarer auf ein bestimmtes Gateway zwingen kann?


2. Gateway Groups / Failback

Grundsätzlich finde ich die Gateway Groups sehr praktisch. Allerdings habe ich bei meinem Kabelanschluss (Vodafone) das Problem, dass er bei Störungen wie ein Ping-Pong agiert:

  • Leitung fällt kurz aus -> Failover auf WAN2
  • nach ein paar Sekunden wieder da -> sofort zurück auf WAN1
  • kurze Zeit später wieder weg -> erneut Umschalten ...

Das ist ziemlich unruhig. Mir fehlt dabei eine Option à la ,,Recovery Delay" oder ,,Hold-Down Timer", also eine Art Mindestzeit, die ein Gateway stabil online sein muss, bevor zurückgeschaltet wird. Gibt es so etwas in OPNsense oder übersehe ich da schlicht die richtige Einstellung?

September 01, 2025, 02:07:12 PM #1
Quote from: D0bby on September 01, 2025, 12:05:11 PM1. WireGuard und Gateway-Wahl

Das langsamere WAN war damals mein erstes Gateway. Sobald ich nun die Verbindung über WireGuard starte (also vom Router zum VPN-Provider), landet der Traffic in ca. 80 % der Fälle auf dem langsamen WAN.

Eigentlich möchte ich, dass er ausschließlich das schnelle WAN verwendet oder - falls möglich - meine konfigurierte Gateway Group.
Hallo,

die Option "upstream" ist bei beiden Gateways aktiviert? Dann könntest du dem favorisierten Gateway noch eine höhere Priority (niedrigeren Wert) setzen. Ich vermute, dass aktuell beide gleichgestellt sind.

Wenn das nicht wie gewünscht funktioniert und du die Gateway Group nutzen möchtest, kannst du das mit eine Floating Policy-Routing Regel für Direction 'out' am (falschen) WAN Interface erreichen.

Quote from: D0bby on September 01, 2025, 12:05:11 PM2. Gateway Groups / Failback

Grundsätzlich finde ich die Gateway Groups sehr praktisch. Allerdings habe ich bei meinem Kabelanschluss (Vodafone) das Problem, dass er bei Störungen wie ein Ping-Pong agiert:
Die Ursache dafür liegt vermutlich nicht in OPNsense, aber da solltest du ansetzen.

Quote from: D0bby on September 01, 2025, 12:05:11 PMDas ist ziemlich unruhig. Mir fehlt dabei eine Option à la ,,Recovery Delay" oder ,,Hold-Down Timer", also eine Art Mindestzeit, die ein Gateway stabil online sein muss, bevor zurückgeschaltet wird.
Wenn du ein Gateway editierst und da den Advanced Mode aktivierst, kannst du Parameter wie "Latency Low Threshold", "Latency High Threshold", "Packet Loss Low Threshold", "Loss Interval" und weitere einstellen. Damit solltest du einen späteren, verzögerten Failover und Failback erreichen können.

Grüße
September 01, 2025, 03:58:01 PM #2
Quote from: viragomann on September 01, 2025, 02:07:12 PMdie Option "upstream" ist bei beiden Gateways aktiviert?
Nein - nur das schnelle WAN. Und dieses hat auch eine niedrigere Metrik.


Quote from: viragomann on September 01, 2025, 02:07:12 PMDie Ursache dafür liegt vermutlich nicht in OPNsense, aber da solltest du ansetzen.
Das weiß ich - nur kann ich an der Vodafone Problematik nichts machen....

Quote from: viragomann on September 01, 2025, 02:07:12 PMWenn du ein Gateway editierst und da den Advanced Mode aktivierst, kannst du Parameter wie "Latency Low Threshold", "Latency High Threshold", "Packet Loss Low Threshold", "Loss Interval" und weitere einstellen
Damit werde ich mal rum spielen
Print
Go Up Pages1
User actions