Eens kijken of ik jullie deze situatie helder voor ogen krijg....
Zodra pfSense een niet functionerende WAN detecteert, schakelt hij van WAN verbinding. Deze detectie werkt op basis van ping opdrachten naar 8.8.8.8 en 8.8.4.4. Echter, nadat de router een interface uit z'n gatewaygroup haalt omdat deze niet werkt, werken inkomende verbindingen niet meer als voorheen. We draaien een aantal services welke de protocollen https, pptp vpn en imap4 benutten. Deze NAT & firewall rules staan voor beide WAN verbindingen ingesteld. Echter nadat hij een WAN verbinding afstoot omdat deze niet meer werkt, werken ook opeens m'n inkomende NAT rules niet meer.
Schets van het netwerk:
Configuratie WAN verbindingen
WAN 1: (afbeelding WAN 1)
Interface IP address: Static IP van UPC
Verbonden met: UPC modem. Volledig pass-through
Gateway: Pri/Sec UPC
WAN 2: (afbeelding WAN 2)
Interface IP address: 192.168.2.100
Connected with: Draytek ADSL modem/router combo (met ip-address 192.168.2.1).
Gateway: Draytek ADSL modem/router combo.
Extra info: DMZ to pfSense router (ip-adress is 192.168.2.100).
Configuratie LAN verbinding:
LAN: (afbeelding Internal network)
Interface IP address: 192.168.1.1/24.
Extra info: DHCP wordt geregeld door Windows Server 2008 machine
Guest WIFI:
Interface IP-adress: 192.168.3.1
Functies van pfSense: Captive portal met DHCP op enkel deze interface.
Nadat pfSense detecteert dat WAN 1 niet werkt, verwijderd hij deze interface van de gateway group. Hierna treedt het probleem op dat alle inkomende NAT verbindingen (op beide WAN's) niet meer werken. Wel komen ze in het System Log bij het tabje als goedgekeurd binnen. Kortom, inkomend zie ik op de pfSense router. Echter heb ik het vermoeden dat zodra de failover ingeschakeld is, hij alsnog het verkeer over de defecte WAN 1 terug wil sturen...
Poorten die we gebruiken:
VPN PPTP (1723, TCP/UPD en GRE protocol)
HTTPS (443)
IMAP (143)
SMTP (25)
Deze regels zijn in de NAT regels aanwezig voor beide WAN lijnen (geen floating regels dus). Als beide WAN lijnen actief zijn kan ik ze ook via beide WAN's bereiken (getest d.m.v. telnetsessies op extern ip-adres).
Echter zodra de router dus een WAN uit z'n gateway group knikkert, kom ik er van buiten af niet meer in. Uitgaand verkeer werkt op dat moment prima.
Zodra WAN 1 weer in de lucht komt, werkt alles wel weer naar behoren, dus het lijkt er op dat op het moment dat hij overschakelt hij op dat moment niet weet hoe hij het verkeer moet retourneren?
Iemand enig idee? Als ik meer info/logs ofzo moet posten, let me know!
Zodra pfSense een niet functionerende WAN detecteert, schakelt hij van WAN verbinding. Deze detectie werkt op basis van ping opdrachten naar 8.8.8.8 en 8.8.4.4. Echter, nadat de router een interface uit z'n gatewaygroup haalt omdat deze niet werkt, werken inkomende verbindingen niet meer als voorheen. We draaien een aantal services welke de protocollen https, pptp vpn en imap4 benutten. Deze NAT & firewall rules staan voor beide WAN verbindingen ingesteld. Echter nadat hij een WAN verbinding afstoot omdat deze niet meer werkt, werken ook opeens m'n inkomende NAT rules niet meer.
Schets van het netwerk:
Configuratie WAN verbindingen
WAN 1: (afbeelding WAN 1)
Interface IP address: Static IP van UPC
Verbonden met: UPC modem. Volledig pass-through
Gateway: Pri/Sec UPC
WAN 2: (afbeelding WAN 2)
Interface IP address: 192.168.2.100
Connected with: Draytek ADSL modem/router combo (met ip-address 192.168.2.1).
Gateway: Draytek ADSL modem/router combo.
Extra info: DMZ to pfSense router (ip-adress is 192.168.2.100).
Configuratie LAN verbinding:
LAN: (afbeelding Internal network)
Interface IP address: 192.168.1.1/24.
Extra info: DHCP wordt geregeld door Windows Server 2008 machine
Guest WIFI:
Interface IP-adress: 192.168.3.1
Functies van pfSense: Captive portal met DHCP op enkel deze interface.
Nadat pfSense detecteert dat WAN 1 niet werkt, verwijderd hij deze interface van de gateway group. Hierna treedt het probleem op dat alle inkomende NAT verbindingen (op beide WAN's) niet meer werken. Wel komen ze in het System Log bij het tabje als goedgekeurd binnen. Kortom, inkomend zie ik op de pfSense router. Echter heb ik het vermoeden dat zodra de failover ingeschakeld is, hij alsnog het verkeer over de defecte WAN 1 terug wil sturen...
Poorten die we gebruiken:
VPN PPTP (1723, TCP/UPD en GRE protocol)
HTTPS (443)
IMAP (143)
SMTP (25)
Deze regels zijn in de NAT regels aanwezig voor beide WAN lijnen (geen floating regels dus). Als beide WAN lijnen actief zijn kan ik ze ook via beide WAN's bereiken (getest d.m.v. telnetsessies op extern ip-adres).
Echter zodra de router dus een WAN uit z'n gateway group knikkert, kom ik er van buiten af niet meer in. Uitgaand verkeer werkt op dat moment prima.
Zodra WAN 1 weer in de lucht komt, werkt alles wel weer naar behoren, dus het lijkt er op dat op het moment dat hij overschakelt hij op dat moment niet weet hoe hij het verkeer moet retourneren?
Iemand enig idee? Als ik meer info/logs ofzo moet posten, let me know!
Hoi.
:strip_icc():strip_exif()/u/212310/6.jpg?f=community)