Multiwan und OpenVPN-Client

Started by flycondor, August 15, 2018, 12:04:27 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 15, 2018, 12:04:27 PM
Hallo,

Wir haben Opnsense (18.7) mit Multiwan (Loadbalancer) nach der  Anleitung im Wiki eingerichtet. So ist der aktuelle Aufbau:
Code Select

            WAN                      WAN
                 :                        :
                 : CableProvider          : DSL-Provider
                 :                        :
            .----+----.              .----+----.
            | Router1 |    Router    | Router2 |
            '----+----'              '----+----'
  192.168.1.1/24 |                        | 192.168.178.1/24
                 |      .----------.      |
                 +------| OPNsense |------+
       192.168.1.12/24 '----+-----' 192.168.178.31/24
                             |
                         LAN | 172.30.1.1/24
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-----...
                     (Clients/Servers)

Diese Konfiguration funktioniert.

Zusätzlich wurde noch eine OpenVPN-Client eingerichtet, der sich ausschließlich über den Kabelanschluss zu einem Server verbindet und die dortigen Netze per Routing dem LAN (Clients/Server) zur Verfügung stellt.
Um Einstellungen dafür vorzunehmen wurde eine Schnittstelle für den OpenVPNClient angelegt. Automatisch wurde von OPNsense für diese Schnittstelle ein Gateway eingerichtet. Für diese Schnittstelle wurden ausgehende NAT-Regeln angelegt:
Code Select

Schnittstelle: VPNClient-Interface,
Quelle: LAN-Netz,
Ziel: VPN-Netze (Alias)
Zielport: 500 (statisch)
NAT-Adresse: Schnittstellenadresse

Schnittstelle: VPNClient-Interface,
Quelle: LAN-Netz,
Ziel: VPN-Netze (Alias)
Zielport: *
NAT-Adresse: Schnittstellenadresse

Damit kann ich aus dem LAN-Netz Geräte im VPNClient-Netz erreichen.

Jetzt zum Problem:


  • Bei einem Ausfall des Kabelanschlusses (Netzwerkkabel abgezogen) besteht kein Zugriff mehr auf das Internet. Die Routingtabelle (Firewall->Einstellungen->Erweitert->Änder des Gateways erlauben) wird geändert, so dass jetzt der VPN-Client als Default-Gateway eingestellt und nicht wie erwartet der DSL-Anschluss (aus der Gateway-Gruppe).
    Lösung: Nach dem deaktivieren das automatisch erzeugtem Gateways für das VPNClient-Interface, sind die Websiten erreichbar.
    Im Gateway haben wir für den VPN-Client folgenden Einstellungen vorgenommen:

    deaktivert: x
    Monitor-IP: IP-Adresse des externen VPN-Servers


  • Scheinbar nur zufällig, wird das Default-Gateway auf den DSL-Anschluss gesetzt. Manchmal existiert kein Default-Gateway in der Routing-Tabelle.
    Wenn die Route nicht gesetzt wurde oder diese Route wieder verschwunden ist, funktioniert auch die DNS-Auflösung nicht (Firewall-Regel für LAN lokale Route zum DNS eingerichtet), surfen mit bekannten IP-Adressen funktioniert weiterhin auf den Clients. 




Hat jemand vielleicht eine Idee, wo der Fehler liegt?
Vielen Dank
Print
Go Up Pages1
User actions