Multiwan und OpenVPN-Client

[flycondor]

Hallo,

Wir haben Opnsense (18.7) mit Multiwan (Loadbalancer) nach der  Anleitung im Wiki eingerichtet. So ist der aktuelle Aufbau:

Code: [Select]

            WAN                      WAN
                 :                        :
                 : CableProvider          : DSL-Provider
                 :                        :
            .----+----.              .----+----.
            | Router1 |    Router    | Router2 |
            '----+----'              '----+----'
  192.168.1.1/24 |                        | 192.168.178.1/24
                 |      .----------.      |
                 +------| OPNsense |------+
       192.168.1.12/24 '----+-----' 192.168.178.31/24
                             |
                         LAN | 172.30.1.1/24
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-----...
                     (Clients/Servers)
Diese Konfiguration funktioniert.

Zusätzlich wurde noch eine OpenVPN-Client eingerichtet, der sich ausschließlich über den Kabelanschluss zu einem Server verbindet und die dortigen Netze per Routing dem LAN (Clients/Server) zur Verfügung stellt.
Um Einstellungen dafür vorzunehmen wurde eine Schnittstelle für den OpenVPNClient angelegt. Automatisch wurde von OPNsense für diese Schnittstelle ein Gateway eingerichtet. Für diese Schnittstelle wurden ausgehende NAT-Regeln angelegt:

Code: [Select]

Schnittstelle: VPNClient-Interface,
Quelle: LAN-Netz,
Ziel: VPN-Netze (Alias)
Zielport: 500 (statisch)
NAT-Adresse: Schnittstellenadresse

Schnittstelle: VPNClient-Interface,
Quelle: LAN-Netz,
Ziel: VPN-Netze (Alias)
Zielport: *
NAT-Adresse: Schnittstellenadresse
Damit kann ich aus dem LAN-Netz Geräte im VPNClient-Netz erreichen.

Jetzt zum Problem:

• Bei einem Ausfall des Kabelanschlusses (Netzwerkkabel abgezogen) besteht kein Zugriff mehr auf das Internet. Die Routingtabelle (Firewall->Einstellungen->Erweitert->Änder des Gateways erlauben) wird geändert, so dass jetzt der VPN-Client als Default-Gateway eingestellt und nicht wie erwartet der DSL-Anschluss (aus der Gateway-Gruppe).
  Lösung: Nach dem deaktivieren das automatisch erzeugtem Gateways für das VPNClient-Interface, sind die Websiten erreichbar.
  Im Gateway haben wir für den VPN-Client folgenden Einstellungen vorgenommen:
  
  deaktivert: x
  Monitor-IP: IP-Adresse des externen VPN-Servers
  
  
• Scheinbar nur zufällig, wird das Default-Gateway auf den DSL-Anschluss gesetzt. Manchmal existiert kein Default-Gateway in der Routing-Tabelle.
  Wenn die Route nicht gesetzt wurde oder diese Route wieder verschwunden ist, funktioniert auch die DNS-Auflösung nicht (Firewall-Regel für LAN lokale Route zum DNS eingerichtet), surfen mit bekannten IP-Adressen funktioniert weiterhin auf den Clients. 

Hat jemand vielleicht eine Idee, wo der Fehler liegt?
Vielen Dank