Opnsense tűzfal egy vezetékes és egy mobil nettel, amire fallback-elni kéne, ha a vezetékes elmegy.
Gateway/Single alatt látszik mindkettő, mindkettő upstream, priority beállítva. Normál esetben a vezetékes az aktív. A General settings-nél az 'Allow default gateway switching' bepipálva.
Ha a gateway-ek alatt kézzel disable-be teszem az elsődlegest, szépen átvált a mobilra, működik, ahogy szeretném.
Ha a vezetéket húzom ki az elsődleges portjából, a gateway-eknél a kiírás szerint átvált aktívra a mobilnet, csak épp a routing táblába nem kerül be ilyenkor default gw-ként.., így gyakorlatban nincs net.
Van esetleg erre valakinek ötlete? Köszi
UPD:
Köszönöm, a routing megoldva.
A másik/újabb probléma, hogy a Quectel EC25-ös miniPCI-E -s LTE kártyát, ami belül valójában az USB-hez csatlakozik, valami miatt csak FULL speed, USB1.1-esnek (12Mbps) ismeri fel a HIGH speed, USB2 helyett. Emiatt a hálózati átvitel csak 5Mbps körüli. Lehet ezt valahogy force-olni nagyobbra FreeBSD alatt?
OpenWRT-vel megy rendesen, de Opnsense jobban tetszene..
Hozzászólások
Az Opnsense-hez nem értek, de ott nincs Gateway Groups mint a pfsensenél?
Úgy tűnik van.
Van. Bár igazából az nem világos, hogy az hogyan működik vagy mit befolyásol? Felveszem egy group-ba a két gateway-t, Tier1, Tier2-vel.. de ez a gyakorlatban mire van hatással, azon kívül, hogy ott is látszik, ha offlineba megy az egyik? Vagy valahol be kéne állítani, hogy ezt használaj?
Köszi
Pfsenseben úgy van, hogy felveszed a két gatewayt (a sima want Tier1-el, a mobilnetet Tier2-vel) ekkor lesz egy Gateway groupod, amit (magát a groupot) be tudsz álllítani default gw-nek, vagy a tűzfalszabályoknál kimenő gatewayként használni. :)
Gateway group-os dologgal nem jött össze, annak a def gw-nek a beállíŧása nem tiszta még, de a sima két single-lel végül sikerült megoldani. Valószínű az oldotta meg, hogy a mobilos interface-nél engedtem a 'Far Gateway'-t (This will allow the gateway to exist outside of the interface subnet. ) , mert az szembetűnő volt, hogy az interface IP-je egész más, mint a ppp-n kapott gateway ip.
Köszi a segítséget.
melyik verzió fut?
23.1.8
Úgy rémlik az elmúlt 1-2 release-ben voltak def gw switching bugok. Keress utána a forum.opnsense.org-on.
Amúgy ha kijön egy új release, mindig várni kell vele legalább 3-4 munkanapot, amíg elő nem jönnek a fórumban az anyázasok, hogy éppen abban mit rontottak el. Ilyenkor 1-2 napon belül kijön egy .1 vagy .2 fixáló verzió, és azt már nem akkora rizikó felrakni.
A vezetékes net DHCP vagy PPPoE? Mi "tárcsáz" be?
A vezetékes DHCP, de ez a része megoldódott közben.
A gond most az, hogy a Quectel EC25-ös LTE kártya csak FULL speed-es (12Mbps) USB eszköznek látszik a High speed (480Mbps) helyett a APU2-es Pcenginges lapban :-( , így meglehetősen lassú az LTE-n a net is.
Létre kell hoznod egy Gateway Group-ot a két kapcsolathoz tartozó gateway-ekből (tudsz prioritást állítani a tier-ek segítségével, és ha visszajön a magasabb tier-be tartozó net, akkor visszavált automatikusan), majd a tűzfal szabályoknál ezt a gateway group-ot kell gateway-nak megadni a mindig ott lévő Default helyett, hogy működjön is rendesen.
Meg persze legyen mindkettőre a gateway monitor bekapcsolva, hogy ne csak a kábel router-ből való kihúzására váltson, hanem arra is, ha az Ethernet kapcsolat jó, csak épp nincs net.
Arra figyelj, hogy ha a tűzfal szabálynál nem Default a gateway (hanem a fent létrehozott gateway group), akkor minden arra megy, szóval a helyi, szegmensek közötti forgalmat külön szabályban nevesítve fel kell venni (ha több VLAN-od vagy egyéb kapcsolatod van lokálisan).
Nekem két vezetékes PPPoE kapcsolat van így bekötve, jól működik.
Bárki olvassa ezt, annak hasznos lehet tudni: annak ellenére, hogy a PPPoE point-to-point, így nem lenne lényeg a túloldali IP cím, a BSD-k (így pfSense és OPNsense) alatt azonos remote címmel nem fog működni (tehát ha mind a kettő PPPoE kapcsolatnak pl. 10.0.0.1 a túloldala, akkor az bukta). Ezt vagy a szolgáltató tudja megoldani (legalább az egyik; nekem így van a másolagos net kis helyi szolgáltatója esetén), vagy be kell tenned az egyik kapcsolatra egy "előtét" eszközt, ami felépíti a PPPoE-t.
UPD2:
Feltettem egy OpenWRT, azzal ment a EC25-ös jó sebességgel, így legalább az kiderült, hogy a HW rendben van. Most használtam először OpenWRT-t, az opnsense felülete jobban tetszett.
Mivel másnak is volt ezzel a kártyával baja a neten opnsense alatt megoldás nélkül, cseréltem a kártyát egy MC7710-esre. Ezt alapból jó sebességű usb eszköznek látta. Itt azzal kellett futni pár kört, hogy QMI módból PID-be kapcsoljam, mert freebsd csak PPP módot ismeri. Ezt a kapcsolást AT paranccsal lehet, de a kártya valami olyan módban volt, hogy nem volt aktív rajta az a com port, amire AT parancsokat lehetne küldni. Végül találtam qmicli -s parancsot, amivel be lehetett kapcsolni ez a portot, utána már viszonylag sima volt a dolog.
Végre van mobil backup vonalam :-)
UPD3:
Az örömöm nem tartott sokáig. Amikor visszavált LTE-ről vezetékes netre, maradnak session-ök, vagy nem tudom mik, amik továbbra is folyamatosan az LTE-t használják és eszik a forgamat:-(
sticky connection kikapcsolva
OpenWRT-nél static route-okat rak érthetetlen módon az LTE-re, ott meg az a forgalom marad ott, valszeg a wireguard kliens peer ip-jére, úgyhogy az sem tudja megugrani a visszaváltást rendesen.. Most egy kicsit elment a kedvem a dologtól.