OPNsense 3 WAN-Leitungen strikt zuweisen (KEIN LoadBalancing oder Failover)

Thorsten76

New member
Servus,
ich stehe etwas auf dem Schlauch bei der Einrichtung von 3 neuen WAN-Leitungen (3x 1Gbit Telekom Glasfaser)
auf einer OPNsense Firewall mit 8 LAN Ports.

Die OPNsense läuft zur Zeit mit 1 WAN-Leitung fehlerfrei.
Zwei weitere WAN-Leitungen (WAN2 + WAN3) sollen jetzt sofort in Betrieb genommen werden.
Die aktuelle WAN-Leitung (WAN1) wird zum Schluss umgebaut und eingerichtet, um den aktiven Betrieb der Firewall nicht zu unterbrechen.

Alle WAN-Leitungen haben jeweils 1 feste IPv4 Adresse (öffentliche Adresse)

Eigerichtet wurden folgende LAN-Ports (8 Stück) und Dienste:
1x Management LAN (igb0)
1x LAGG/LACP über 4 LAN-Ports (igb1,igb2,igb3,igb4)
9x VLANs über LAGG/LACP
3x WAN (WAN1=igb5, WAN2=igb6, WAN3=igb7)
OpenVPN
NAT/Port-Forwarding Regeln für Fernwartung und Anwendungen im Netz (über WAN1).
DNS-Regeln

Das erste Ziel ist die Einrichtung der WAN2 + WAN3 Leitungen und eine feste Zuweisung zu den VLANs.
"VLAN_50_Online-Unterricht" soll immer über WAN2 surfen (nur über WAN2)
"VLAN_220_WLAN-Schueler" soll immer über WAN3 surfen (nur über WAN3)
usw..

Besonderheit:
Auf 3 VLANs muss weiterhin der DNS-Server eines ActiveDirectory Domaincontrollers benutzt werden.
DNS Einrichtung bei den WAN2 + WAN3 Leitungen.

Leider ist das System zu komplex, ich benötige Hilfe bei der Einrichtung.

Vielen Dank und Gruß, Thorsten
 
Zuletzt bearbeitet von einem Moderator:
Guten Tag,
ich würde dir doch eher empfehlen, die Telefonnummern wieder rauszunehmen aus deinem Beitrag: auf Bearbeiten gehen und dann löschen.
Wenn dich jemand privat kontaktieren will, dann kann das via dem Briefumschlagsymbol (oben rechts neben dem Namen) geschehen, dort kannst du dann immer noch deine privaten Daten angeben, ohne, dass gleich alle Welt es sieht...
 
Das erste Ziel ist die Einrichtung der WAN2 + WAN3 Leitungen und eine feste Zuweisung zu den VLANs.
"VLAN_50_Online-Unterricht" soll immer über WAN2 surfen (nur über WAN2)
"VLAN_220_WLAN-Schueler" soll immer über WAN3 surfen (nur über WAN3)
Das dürfte dann wohl einfach über die entsprechenden NAT-Regeln zu regeln sein....

VLAN50 -> NAT-IP WAN2
VLAN220 -> NAT-IP WAN3

Besonderheit:
Auf 3 VLANs muss weiterhin der DNS-Server eines ActiveDirectory Domaincontrollers benutzt werden.
Der DNS wird ja sowieso in einem extra VLAN sein, entweder läuft es über die pfSense selbst (welche dann den Windows-DNS befragt), oder der DNS wird "direkt" von den Clients befragt.

Bzgl. DNS kannst Du ja eine entsprechende Resolver angeben und per default sollten die dann auch über alle WAN-Interfaces genutzt werden (ausser Du schränkst es ein).
 
Guten Tag,
ich würde dir doch eher empfehlen, die Telefonnummern wieder rauszunehmen aus deinem Beitrag: auf Bearbeiten gehen und dann löschen.
Wenn dich jemand privat kontaktieren will, dann kann das via dem Briefumschlagsymbol (oben rechts neben dem Namen) geschehen, dort kannst du dann immer noch deine privaten Daten angeben, ohne, dass gleich alle Welt es sieht...
OK, hab es geändert, vielen Dank
 
Das dürfte dann wohl einfach über die entsprechenden NAT-Regeln zu regeln sein....

VLAN50 -> NAT-IP WAN2
VLAN220 -> NAT-IP WAN3
OK, an NAT-Regeln habe ich bisher nicht gedacht. Die Regeln sind bei "Port-Forwarding" auf dem WAN1 eingerichtet, aber beziehen sich nur auf den eingehenden Weg "Internet -> VLAN" und nicht "VLAN -> Internet".

Ich denke, die Auswahl welches VLAN über welchen WAN-Gateway surft, muss in "Firewall - Rules - VLAN_xx" unter dem Punkt "Gateway" eingestellt werden, oder?

Allerdings funktioniert dann scheinbar die DNS-Auflösung nicht mehr korrekt (Oder über einen falschen Gateway), weil unter
"System: Settings: General - DNS Servers" sind keine DNS Server eingerichtet für WAN2 und WAN3.

Ich bin auch nicht sicher, welche DNS-Server hier einzugeben sind, da alle 3 WAN-Leitungen von der Telekom sind?
Hier könnte dann zu den unterschiedlichen DNS-Servern auch die jeweiligen Gateways angegeben werden.

Oder suche ich an der falschen Stelle?

Der DNS wird ja sowieso in einem extra VLAN sein, entweder läuft es über die pfSense selbst (welche dann den Windows-DNS befragt), oder der DNS wird "direkt" von den Clients befragt.

Bzgl. DNS kannst Du ja eine entsprechende Resolver angeben und per default sollten die dann auch über alle WAN-Interfaces genutzt werden (ausser Du schränkst es ein).
 
Ich bin auch nicht sicher, welche DNS-Server hier einzugeben sind, da alle 3 WAN-Leitungen von der Telekom sind?
Da könnte man auch einfach 2 DNS-Server eintragen (unabhängig vom ISP, z.B. 8.8.8.8+8.8.4.4) :)

OK, an NAT-Regeln habe ich bisher nicht gedacht
Das wären dann SNAT-Regeln ("woher" kommt es), bei den Portweiterleitungen sind es eher DNAT-Regeln ("wohin" soll es). Diesbezüglich wäre auf folgendes zu achten: https://docs.netgate.com/pfsense/en/latest/multiwan/nat.html

Policy routing firewall rules direct connections to specific WAN interfaces, and the Outbound and 1:1 NAT rules specify how the addresses on packets for those connections will be translated by the firewall as it leaves that WAN.

Gateway kannst Du dann eben entsprechend ganz unten bei den Firewall-Regeln angeben (policy-based-routing).

Ansonsten kannst Du auch mal hier nachschauen: https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-multi-wan-einrichten/, da ist auch nochmal entsprechendes beschrieben.
 
Moinsen,
bei den Angaben zu DNS pro WAN: freie Auswahl, muss ja nicht gerade google DNS sein...wie @blurrrr ja schon sagt.
Und ja, du kannst neben den NAT Regeln für die jeweiligen VLANs per Firewallregel auch den Verkehr von innen (welches WAN Gateway ist erlaubt, welches verboten als Passage) nach draußen steuern.
 
Da könnte man auch einfach 2 DNS-Server eintragen (unabhängig vom ISP, z.B. 8.8.8.8+8.8.4.4) :)

Wäre das so richtig bei 3 WAN-Schnittstellen? Einfach beliebige DNS-Server eintragen und diese einem Gateway zuweisen?
Bei den Checkboxen mit "Fragezeichen" bin ich mir nicht sicher ob diese anzuhaken sind.

2023-02-18 19_36_01-Window.png
Das wären dann SNAT-Regeln ("woher" kommt es), bei den Portweiterleitungen sind es eher DNAT-Regeln ("wohin" soll es). Diesbezüglich wäre auf folgendes zu achten: https://docs.netgate.com/pfsense/en/latest/multiwan/nat.html



Gateway kannst Du dann eben entsprechend ganz unten bei den Firewall-Regeln angeben (policy-based-routing).

Ansonsten kannst Du auch mal hier nachschauen: https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-multi-wan-einrichten/, da ist auch nochmal entsprechendes beschrieben.

Bei dem "Blauen Kreis" würde ich den entsprechend gewünschten WAN2 oder WAN3 als Gateway auswählen, korrekt?
(Als Beispiel in den 2 Bildern)

2023-02-18 19_27_50-Window.png

2023-02-18 19_28_35-Window.png

In den Firewall Rules "Floating" habe ich bisher festgelegt, das der Zugriff nur auf "extern erlaubte" DNS Server festgelegt ist
und das der Zugriff auf den "internen" DNS-Server auf den Domaincontroller / Active Directory festgelegt wird.

Sind diese Regeln in "Floating" einzutragen?
Oder ist es besser die DNS-Regeln unter den unterschiedlichen VLANs "Firewall: Rules: VLANxx" einzurichten?

Sollte "Floating" Ok sein, würde ich 3 Regeln anlegen mit unterschiedlichen DNS und den jeweiligen Gateway hinterlegen.?
z.B.
Alias "allowed DNS-Server WAN1" = 194.25.0.60; 194.25.0.68 und Gateway WAN1
Alias "allowed DNS-Server WAN2" = 8.8.8.8; 8.8.4.4 und Gateway WAN2
Alias "allowed DNS-Server WAN3" = 1.1.1.1; 1.1.1.2 und Gateway WAN3

In den DHCP-Einstellungen werden dann zusätzlich die entsprechenden DNS-Server fest eingetragen, richtig?

2023-02-18 19_24_30-Window.png


Bei den Gateways sieht es so aus:
Wenn ich bei der Monitor-IP z.B. die "8.8.8.8" eingebe, dann geht der Status auf "Offline".
Nur mit der festen öffentlichen IP steht der Status auf "Online"

2023-02-18 19_47_29-Window.png
 
Zuletzt bearbeitet:
Wäre das so richtig bei 3 WAN-Schnittstellen? Einfach beliebige DNS-Server eintragen und diese einem Gateway zuweisen?
Dem wäre wohl so - je nach Gateway werden dann die hinterlegten DNS-Server genutzt. Frage wäre irgendwo, warum die jetzt alle unterschiedlich sein sollen, aber nujut, kann man ja machen wie man möchte.

Bei den Checkboxen mit "Fragezeichen" bin ich mir nicht sicher ob diese anzuhaken sind.
Das hängt wohl ganz davon ab, wie Du das entsprechende Verhalten steuern möchtest. Wenn noch IPv6 im Spiel ist, sollte auch irgendwo ein IPv6-DNS mit im Spiel sein.

Bei dem "Blauen Kreis" würde ich den entsprechend gewünschten WAN2 oder WAN3 als Gateway auswählen, korrekt?
Würde ich mal so sagen.

In den Firewall Rules "Floating" habe ich bisher festgelegt, das der Zugriff nur auf "extern erlaubte" DNS Server festgelegt ist
und das der Zugriff auf den "internen" DNS-Server auf den Domaincontroller / Active Directory festgelegt wird.
Kann man machen...

Sind diese Regeln in "Floating" einzutragen?
Oder ist es besser die DNS-Regeln unter den unterschiedlichen VLANs "Firewall: Rules: VLANxx" einzurichten?
Das bleibt Dir überlassen. Ich persönlich binde keine Regeln an bestimmte Schnittstellen, hier sind die Regeln immer übergreifend.

In den DHCP-Einstellungen werden dann zusätzlich die entsprechenden DNS-Server fest eingetragen, richtig?
Wäre jedenfalls nicht verkehrt, ansonsten ist es evtl. ein bisschen mau beim Thema DNS für die Clients... ☺️

Nur mit der festen öffentlichen IP steht der Status auf "Online"
Keine Ahnung, ich seh da auch nur bei einem Gateway den Vermerk "active", mag etwas damit zu tun haben.

Prinzipiell wäre es evtl. schlauer, eine Gateway-Gruppe zu erstellen und dann anhand von Priorisierungen/Lastverteilung den Traffic über die diversen Interfaces zu schicken. Keine Ahnung, wie das bei der pfSense/OPNsense so läuft, aber normalerweise gibt es schon die Möglichkeit einer gezielten Last-Verteilung. In Worten der pfSense/OPNsense dürfte das dann erstmal die Erstellung der Gateway-Gruppe sein - da kein Failover gewünscht ist, müsste alles Tier1 sein (dann sollten die theoretisch auch alle auf "active" stehen), Traffic-Regelung dann wie bereits zuvor erwähnt. Mach das aber mal lieber vor Ort und nicht remote, nicht, dass Du Dich noch aussperrst ☺️
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.833
Beiträge
48.796
Mitglieder
4.488
Neuestes Mitglied
connect
Zurück
Oben