KPN bonded VDSL met routed subnet icmpfSense HA

Hallo allemaal,

Sinds kort zijn wij verhuisd en noodgedwongen geswitcht van provider (van Ziggo naar KPN). Het betreft zakelijke aansluitingen. Voor HA doeleinden hebben wij een pfSense HA opstelling, Dit werkte prima i.c.m. een extra subnet van Ziggo:

- Modem in bridge mode (met gateway adres)
- Beide pfsense machines een public IP
- Overige 3 ip-adressen zijn dan CARP, dus als pfsense1 down is pakt pfsense2 deze op.

Nu met KPN wil ik dezelfde setup realiseren. Ook bij kpn dus een publiek subnet afgenomen. Hierbij kwamen wij er snel achter dat de ExperiaBox niet voldoet voor deze setup en dus hebben wij een FritzBox aangeschaft. Na lang proberen hebben we de volgende configuratie werkend gekregen:

- FritzBox LAN DHCP uitgeschakeld
- Publiek subnet ingevoerd op de fritzbox
- PPPOE termination ook op de Fritzbox, deze krijgt dan het eerste IP in de reeks
- beide PFSense machines op de WAN interface een IP uit het blok gegeven.
- 2 IP adressen uit de reeks als HA CARP ingesteld op de pfsense
- 1 van de CARP adressen instellen als exposed host

In eerste instantie lijkt bovenstaande setup te werken. Echter na verloop van tijd verspringt het IP adres van de exposed host in de FritzBox, hij lijkt deze zelf naar hartenlust aan te passen naar andere public IP's in onze range. Ook kunnen we op deze manier maar een enkel IP uit ons subnet gebruiken als HA CARP IP, omdat de fritzbox maar een enkele exposed host toestaat. Andere beperkingen:

- KPN ondersteund maar 1 enkele PPPOE sessie, dus op iedere pfsense bak een PPPOE sessie opbouwen gaat niet
- Fritzbox kan niet in bridge modus
- Fritzbox herkent connected devices op basis van MAC adres, dus je kan maar een forward voor 1 enkel CARP ip invoeren omdat het MAC adres dan al in de tabel voor komt.
- ookal geprobeerd om handmatig de DSL settings

Is er iemand van jullie die hier ervaring mee heeft en mij wellicht een modem kan aanbevelen waarop ik de PPPOE sessie kan terminaten, maar vervolgens op de pfsense bakjes zelf mijn public IP's en CARP kan configureren, ZONDER additionele NAT of firewall functies op het modem zelf?

Alvast bedankt voor jullie hulp!

Hmm je "helaas" klinkt niet echt bemoedigend Maar dank voor de tip.

Heeft dit verder nog implicaties / beperkingen?

Dus met de DrayTek kom ik op de onderstaande configuratie:

Inkomende lijn <---> DrayTek <----> PFsense1 en PFsense2

- Draytek: DSL configuratie, PPPOE termination en vlan6 op de WAN interface. De Draytek heeft dan geen eigen publiek ip,correct? Of krijgt deze het eerste IP van het subnet toegewezen vanwege de PPPOE termination en omdat alle adressen naar dit adres worden gerouteerd vanuit KPN?
- Pfsense1: Eerste of tweede IP uit de subnet range
- Pfsense2: Tweede of derde IP uit de subnet range
- blijven er nog 2/3 over voor CARP

Duidelijk. Beschikt de DrayTek wel over de juiste configuratie opties om geen NAT / Filtering toe te passen zodat ik de lijn die naar mijn beide PFsense machines kan gebruiken om mijn publieke IP's op de pfsense WAN interfaces te zetten? Op onze coreswitch heb ik een apart VLAN voor de WAN, waar dan de LAN1 van de DrayTek in komt.

Ik heb overigens ookal naar een ExtraIP configuratie gekeken, maar dit lijkt ook niet te gaan werken in een pfsense failover opstelling. Of zijn er mensen die hier ervaring mee hebben?

Thx voor de tips. Alleen werkt dat bij mij niet, want de pfsense achter de FritzBox heeft hetzelfde MAC-Address waardoor je op de FritzBox maar 1 forward kan maken (geeft de melding interface already added).

Nu heb ik zelf nog een pfSense bak liggen, daar wil ik de FritzBox mee vervangen. Ik ben bekend met de PPPOE config van KPN dus dat moet prima lukken. Maar nu rest de vraag:

Hoe kan ik de pfSense die in de plaats komt van de Fritzbox in een Bridge Mode zetten? Via PPPOE krijgt de pfsense een publiek IP waar dus mijn extra subnet naar gerouteerd wordt. Ik zou de WAN vervolgens graag bridgen naar een VLAN waarop mijn achterliggende HA pfsense setup draait. Hier kan ik dan vervolgens op beide WAN interfaces een adres uit het subnet toekennen, en er 2 gebruiken als HA Carp adres. Iemand een idee of en hoe ik dit werkend krijg?