OPNsense Multi WAN

Mit einer OPNsense Firewall können mehrere Internetverbindungen (WAN-Verbindungen) parallel verwendet werden. Diese können in einem Failover- oder Load-Balancing-Modus, sowie in einer Kombination aus beiden konfiguriert werden. In diesem Artikel zeigen wir, wie Sie eine herkömmliche Netzwerk-gebundene Internetanbindung mit einer LTE-basierten drahtlosen Internetanbindung in einem Failover-Betrieb einrichten.

Mit einem LES network 6L mit LTE Modem lässt sich einfach eine hochverfügbare Multi WAN Internetanbindung realisieren. (LTE Modem auf Anfrage verfügbar.)

Failover

Für einen WAN-Failover-Betrieb sind zumindest zwei WAN-Anbindungen erforderlich.

2 WAN Verbindungen ohne IPv6

Da im Beispiel die beiden WAN-Anbindungen kein IPv6 unterstützen, entfernen wir zuerst IPv6 auf der bestehenden ersten Verbindung:

OPNsense IPv6 deaktivieren

Für die zweite WAN-Verbindung verwenden wir eine drahtlose LTE Verbindung. Dazu muss zuerst das Modem entsprechend konfiguriert werden:

OPNsense LTE Verbindung - Konfiguration Modem

Anschließend wird die zweite WAN Verbindung entsprechend konfiguriert:

Unter Interfaces -> Assingments das zuvor erstellte ppp0 Interface wählen.
Auf das Plus-Symbol klicken.
Auf OPT1 klicken.
Als Beschreibung WAN2 anführen.
Auf Save klicken.
Auf Apply changes klicken.
Im Dashboard sind nun beide WAN Verbindungen zu sehen.

Monitor IPs

Zur Überwachung der beiden WAN-Verbindungen müssen entsprechende Monitoring IPs konfiguriert werden. In diesem Beispiel verwenden wir dazu die öffentlich zugänglichen DNS Server 8.8.8.8^[1] und 9.9.9.9:^[2]^[3]

Unter System -> Gateways -> Single beim ersten Gateway auf Edit klicken.
Die Einstellungen wie in der Abbildung wählen und speichern.
Beim zweiten Gateway auf Edit klicken.
Die Einstellungen wie in der Abbildung wählen und speichern.
Auf Apply changes klicken.
Die Änderungen wurden übernommen.

Gateway Gruppe

Unter System -> Gateways -> Group auf Add group klicken.
Die Einstellungen wie in der Abbildung wählen.
Auf Save klicken.
Auf Apply changes klicken.
Die Änderungen wurden übernommen.

DNS je Gateway

Unter System -> Settings -> General die DNS Server wie gezeigt hinterlegen.

Policy-basiertes Routing

Unter Firewall -> Rules -> LAN bei der IPv4 Regel auf Edit klicken.
Als Gateway hier WANGWGROUP auswählen.
Auf Save klicken.
Auf Apply changes klicken.
Die Änderung wurde übernommen.

Firewall-Regel für DNS

Unter Firewall -> Rules -> LAN bei der IPv4 Regel auf Add new rule klicken.
Die Einstellungen wie in der Abbildung wählen.
Die Einstellungen wie in der Abbildung wählen.
Die Checkbox bei der neuen Regel aktivieren und bei der IPv4 Regel auf move ... klicken.
Auf Apply changes klicken.
Die Änderung wurde übernommen.

Ausfalltest

Vor dem Ausfalltest können bei den Gateways die Schwellwerte bei Bedarf angepasst werden.
Schwellwerte (1/2).
Schwellwerte (2/2).
Im Backbone der ersten WAN-Verbindung ist ein Ausfall aufgetreten. Obwohl der Link auf der Firewall noch up ist, erkennt OPNsense den Ausfall.
Nach kurzer Zeit wir der Packet Loss mit 100% angezeigt. Der Traffic wird nun über die zweite WAN Verbindung geleitet.
Unter System -> Gateways -> Logs ist der Ausfall dokumentiert.
Nachdem die erste WAN Verbindung wieder verfügbar ist, geht der Traffic wieder über diese Verbindung.

Load Balancing

Sticky Connections gewährleisten, dass Pakete die zu einer Verbindung gehören, über dieselbe WAN-Anbindung geroutet werden.

Wenn die beiden WAN-Anbindungen über unterschiedliche Bandbreiten verfügen, können Sie dies bei der Gewichtung (Weight) berücksichtigen, um beide Anbindungen optimal auszulasten.

Load balancing kann verwendet werden, um die Auslastung des Internet-Verkehrs auf zwei oder mehrere ISPs aufzuteilen. Das erhöht in Summe die verfügbare Internetbandbreite.

Für ein solches Setup führen Sie die folgenden Konfigurationsschritte durch:

Teilen Sie den Internetverkehr auf, indem Sie für mehrere Verbindungen der selbe Tier auswählen (siehe Screenshots im Abschnitt Gateway Gruppe).
Damit nachfolgende Pakete einer bestehenden Verbindung über dieselbe WAN Anbindung ins Internet geroutet werden, aktivieren Sie die Option Sticky Connections unter Firewall -> Settings -> Advanced. Bei Bedarf können Sie darüber hinaus noch einen zusätzlichen Source Tracking Timeout stellen, damit auch nach dem Ende einer Verbindung für eine bestimmte Zeit Pakete zur gleichen Ziel-IP-Adresse noch weiterhin über dieselbe WAN Anbindung geroutet werden.
Falls die WAN Anbindungen über unterschiedliche Bandbreiten verfügen, können Sie die Gewichtung der jeweiligen Gateways anpassen. Verfügt die erste WAN Anbindung z.B. über 10 MBit Bandbreite und die zweite WAN Anbindung über 20 MBit, setzen Sie die Gewichtung (Weight) des ersten Gateways auf 1, und des zweiten Gateways auf 2. Die Einstellungen können Sie für die beiden Gateways unter System -> Gateways -> Single vornehmen, indem Sie bei jedem Gateway auf das Bleistift Symbol klicken und anschließend unter den Advanced Options den Wert für Weight anpassen.

Hinweise

Automatisch generierte reply-to Regeln: Um sicherzustellen, dass Antwortpakete über dieselbe WAN-Verbindung wie die eingehenden Pakete gesendet werden, verwendet OPNsense automatisch generierte reply-to Regeln. Eine Kommunikation mit anderen Rechnern (außer dem Standard-Gateway), die sich direkt im selben IP-Netzwerk (Layer-2-Netzwerk) befinden, ist daher nicht möglich (siehe OPNsense von Rechner im Layer 2 WAN Netzwerk ansprechen). Da auf der WAN-Seite meist Punkt-zu-Punkt-Verbindungen verwendet werden, ist dies nur selten eine Einschränkung.
Multi WAN mit 2 DHCP WAN Schnittstellen: Beim Einsatz von zwei WAN Schnittstellen, die jeweils als DHCP Client IP Adressen beziehen, muss bis OPNsense 20.1.* ein Patch via opnsense-patch 0e2751d eingespielt werden. OPNsense ab Version 20.7.b (Beta-Version von OPNsense 20.7) enthält diesen Patch bereits.^[4]^[5]

Weitere Informationen

Multi WAN (docs.opnsense.org)

Einzelnacheise

↑ Google Public DNS (en.wikipedia.org)
↑ Quad9 (en.wikipedia.org)
↑ Quad9 DNS (www.quad9.net)
↑ Multi WAN with 2 DHCP WAN interfaces not working properly #3961 (github.com/opnsense/core/issues)
↑ OPNsense 20.7.b Release (github.com/opnsense/core) enthält rc.linkup: filter_configure() needs to be called after stop/start dev… 0e2751d

Autor: Werner Fischer

Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.

[1] Google Public DNS (en.wikipedia.org)

[2] Quad9 (en.wikipedia.org)

[3] Quad9 DNS (www.quad9.net)

[4] Multi WAN with 2 DHCP WAN interfaces not working properly #3961 (github.com/opnsense/core/issues)

[5] OPNsense 20.7.b Release (github.com/opnsense/core) enthält rc.linkup: filter_configure() needs to be called after stop/start dev… 0e2751d

[1]

[2]

[3]

[4]

[5]