hilfe: pfsense auf root-server mit failover ip

  • Hallo zusammen,


    Das wird mein erstes Posting hier.


    Ich habe einen root-server bei netcup.


    Dort habe ich Pfsense installiert, eine zusätzliche failover-ip bestellt und zu dem server "gerouted".


    Nun habe ich in pfsense ein gateway erstellt, mit der FAILOVER-IP als gateway-ip.

    Natürlich habe ich unter erweiteret markiert, "use non-local gateway" da die failover-ip als gateway meine hauptserver-ip nimmt.

    Dann habe ich unter WAN die failover-ip eingetragen und als gateway das angelegte gateway genommen.

    Unter routing habe ich als default-gateway auch das gateway ausgewählt.


    Und es läuft einfach nichts. Kein rein und auch kein raus.


    Hier nochmal eine übersucht nur fakten statt blah blah:

    gatewayX auf: netcup-server-ip

    WAN-ip auf: failover-ip und gatewayX

    gatewayX als default gateway


    Ich verstehe nicht warum das nicht geht.

    Von proxmox her kenne ich das, dass es manchmal auf nem guest nur geht wenn man mit pointopoint zusätzlich auf den gateway verweißt.

    Aber keine ahnung wie ich das in pfsense hin bekomme, oder was man sonst machen kann.

    Vielleicht gibt es möglichkeiten wie man das hinbekommt, aber mir fehlt das wissen.


    Ich bitte hiermit freundlichst um Erleuchtung! :saint:
    Vielen Dank im Voraus!

  • Nun habe ich in pfsense ein gateway erstellt, mit der FAILOVER-IP als gateway-ip.

    Warum hast du die Failover Adresse als Gateway eingetragen?

    Hast du ggf. Screenshots von der Sache?


    Was hast du überhaupt vor? Warum braucht eine Firewall eine Failover-IP?

  • Ach, f*ck,... ich dachte noch... lese es nochmal zur Kontrolle,..


    natürlich habe ich nicht die failover-ip als gateway.


    sondern wie hier beschrieben:
    gatewayX auf: netcup-server-ip (diese ip benutzt die failover-ip als gateway)

    WAN-ip auf: failover-ip und gatewayX

    gatewayX als default gateway

    Naja,.. screenshoots,... dann würdest du folgendes sehen:


    Unter Routing sieht man dann folgendes gateway:
    IPv4 vom gatewayX = netcup-server-ip


    dieser gateway ist auch als default-gw gesetzt


    Unter den WAN settings sieht man dann bei:
    IPv4 = failover-ip
    gateway = gatewayX (ergo die netcup-server-ip)

    Was habe ich vor,..

    Ich habe 2 server bei netcup jeder eine pfsense, diese sollen im failover laufen.

    Normalerweise nimmt man dann ein IP-Netz und dann CARP die ganze sache mit dem public-IP failover machen.
    Da netcup aber keine IP-Netze anbietet dachte ich mir am besten wäre es wenn ich eine failover-ip habe,

    und wenn dann der master abraucht und der die backup pfsense übernimmt leitet die backup pfsense die failover-ip zu sich um

    so gibt es nach außen hin nur 1 IP.


    Danke fürs antworten ;)

  • Du musst die IP welche deinem Server zugewiesen ist und im SCP angezeigt wird auf der PFSense konfigurieren. Das Gateway wird dir dort auch angezeigt

    Anschließend routest du über das SCP oder per Webservice die zuätzlich gebuchte IP auf den gewünschten Server und gehst in deiner PFSense ins Webinterface Firewall - Virtual IPs dann wählst du IP Alias und das gewünschte Interface aus und fügst dir dort die zusätzliche IP hinzu.

    Falls gewünscht müsstest du dann noch über Firewall - NAT - Outbound es so einstellen, dass der ausgehende Traffic über die zusätzliche IP genatted wird

  • Wenn aber GatewayX die Server IP ist - wo soll denn der normale Traffic hingehen?

    Unter Routing müsste es ja folgende folgende Einträge geben:


    Sei 185.244.192.0/22 dein Subnetz (Siehe Netzwerk-Tab im SCP), 185.244.192.1 der Netcup Router und 185.244.194.abc dein pfsense

    Sei 45.90.4.def deine Failover-IP

    1. eine L2 Route, also 185.244.192.0/22 via dev WAN src 185.244.194.abc

    2. eine default Route, also default via 185.244.192.1

    3. eine Route für die Failover-IP (sofern gewünscht) [Kriterium] via 185.244.194.abc src 45.90.4.def


    Wenn dir die "direct connect L2" fehlt, dann musst du natürlich auch die Failover IP eingehend routen.

    45.90.4.def/32 via dev LAN.


    und wenn dann der master abraucht und der die backup pfsense übernimmt leitet die backup pfsense die failover-ip zu sich um

    so gibt es nach außen hin nur 1 IP.

    Das Umschalten musst du per API machen.