2x Cisco WAN an 1 pfSense über WAN VLAN

[-Overlord-]

Moin Leute

Hab hier gerade einen Fall auf dem Tisch:

Soll:

• 2x Colt Cisco Managed CPE Router (Main und Backup)
• Main ist aktiv, Backup inaktiv
• Cisco Core Switch
• pfSense Firewall
• 1x IP Netz mit /28er Maske

Soll:
Internet funktioniert über Main Leitung und wenn die weg fällt, schaltet Colt auf die Backup Leitung

Problem:
Leider hat Colt kaum Informationen gegeben. Mittels LAGG und Failover/Loadbalance etc. hat es nicht geklappt. LAGG_FEC nur bei einer Leitung, aber auch da hat das mit dem Internet nicht funktioniert.

Idee:

• Beide Colt Cisco WAN Ports in ein VLAN fürs WAN
• pfSense WAN Ports in das VLAN fürs WAN
• LAGG_WAN IP technisch konfigurieren

Ergebnis:

• Firewall bekommt über das VLAN WAN eine Verbindung über die Main Leitung
• Sobald die MAIN offline ist, geht es über die Backup Leitung

Hier auch mal eine grobe schematische Darstellung:
https://www.bilder-upload.eu/bild-250df1-1541849759.png.html

Könnte das so funktionieren, oder muss man für WAN noch so etwas wie VRRP oder HRSP konfigurieren?

Greetz
OIvrld
Reply

 

[azereus]

du stolltest in erfahrung bringen wie Main <-> BU das Failover machen!

# wir machen das mittels HSRP
www <-> Main <-> Switch <-> BU <-> www
_________________________|
______________________Firewall

Wenn zwischen Main + BU HSRP gesprochen wird ist ein Switch zwischen den beiden erforderlich und das "3"te LAN-Kabel vom Switch geht zu deiner Firewall

wem gehört der core-switch?

bei HSRP /28 verlierst du 3 IPs.
CPE1
CPE2
Virt GW IP

 

[-Overlord-]

Core Switch gehört zu "meiner Seite".

Colt ist leider wenig kommunikativ und daher hab ich bisher nur 2 Netzwerkports und ein IP Netz mit ner 28er Maske bekommen.

Als Switch könnte ich den Core Switch nehmen um nicht noch einen weiteren SPOF einzubauen. Deshalb die Idee mit dem VLAN für WAN (ColtRouter1, ColtRouter2, LAG_WAN pFsense).

 

[razzy]

denke colt fährt ein HSRP wenn cisco router, oder halt auch VRRP, wie auch immer
dein "Gateway" für deine Firewall wäre somit die virt. IP zwischen den beiden Routern.

Hier würde ich aber genau bei Colt mal nachfrage, anders wäre es nicht "professionell".

Wer weiß schon was Colt auf ihren Routern macht. man könnte genauso auch mit policy / route-maps arbeiten.

Alles so eine sache

 

[-Overlord-]

@razzy
Genau - bei Colt nachfragen geht allerdings erst ab Montag. Bisher gehe ich mal davon aus, dass der IP Bereich mit der 28er Maske genau jenes virtuelle Gateway ist.

Deshalb meine Idee einfach beide Colt Router Interfaces in ein VLAN zu setzen und in dem VLAN dann auch das LAGG_WAN Interface mit der konfigurierten Adresse.

Die Frage ist dann nur ob es problemlos geht - das LAGG_WAN also mittels Gatway die Main Leitung nimmt und wenn die wegbricht dann einfach die Backup Leitung genommen wird.

Ergänzung (10. November 2018)

Also so z.B.

interface Vlan101
description Colt1
no ip address

interface Vlan102
description Colt2
no ip address

interface GigabitEthernet x/y/z
description Firewall
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 101,102
switchport mode trunk
switchport nonegotiate
spanning-tree portfast

 

[razzy]

würde ich nicht so machen.
jedes Interface der Router kommt in das gleiche VLAN, da wir im gleichen Netzsegment arbeiten (/28).
Dann musst du nur intern der Firewall in dem VLAN eine IP geben und die Firewall kann mit der virtuellen IP der Coltrouter kommunizieren.

Sprich (pseudokonfig) für pfsense:

int vlan 101:
ip address xy
description Transfer-to-Colt

int 1:
swi mode access
swi access vlan 101
desc Colt1

int2:
swi mo access
swi access vlan 101
desc Colt2

 

[-Overlord-]

Ach stimmt - da hab ich gerade gepennt (hatte es vorher auch so stehen - dann aber im Text geändert^^). So war halt meine Idee. Werd das mal testen - danke!