在OPNsense中,可以使用多个Internet连接(WAN连接)。多WAN可以运行在故障转移、或负载平衡模式下,又或者两者的组合。本文将介绍多WAN的故障转移模式配置。
添加另一个WAN接口
多WAN故障转移至少需要两个WAN连接。在已有第一个WAN连接的基础上,相应地配置第二个WAN连接,这个WAN接口可以是静态IP,也可以是PPPOE拨号,本文采用PPP拨号方式创建第二个WAN接口。
在接口->接口分配下选择先前创建的ppp0接口。
点击右侧的加号添加一个新接口OPT1。
点击新创建的接口OPT1。描述名称填写:WAN2。
填写PPP的参数,点击保存,点击“应用更改”。
如果你的连接没有问题的话,现在可以在仪表板中看到两个WAN的连接情况。
设置监控IP
现在设置监控IP以来监控两个WAN连接情况。本文中,我们采用公共DNS服务器8.8.8.8 和9.9.9.9。
导航到“ 系统”->“网关”->“单个”下,单击第一个网关右边的“编辑”图标 。
在监控IP栏填写上述数值并保存。
单击第二个网关上的“编辑”图标 。
在监控IP栏填写上述数值并保存。
点击“应用更改”。
更改已应用。
设置网关组
导航到系统- >网关- >组,点击右侧添加组。
如图所示填写设置。触发条件选丢包。故障转移的层级一个选1,一个选2。如果是负载平衡,则设置为相同的层级,根据带宽的不同,再设置不同的权重。
点击保存。
点击“应用更改”。
更改已应用。
设置网关的DNS
在系统->设置->常规下,为每一个WAN连接填写好相应的DNS服务器地址。
设置基于策略的路由
导航到“防火墙”->“规则”->“LAN”,点击默认IPv4通过规则右侧的“编辑”按钮。
在网关栏,选择前面设置的网关组:WANGWGROUP。
点击保存。
点击“应用更改”。
更改已被接受。
设置DNS防火墙规则
导航到“防火墙”->“规则”->“ LAN”,单击添加新规则 ” 。
根据自己的LAN地址设置情况,填写如图所示设置。
选中规则左侧的复选框,将规则移动到默认规则最前面。
然后点击“应用更改”。
更改已被接受。
故障转移测试
断开其中的一个连接。
第一个WAN连接发生故障。
短时间后,丢包率显示为100%。现在,OPNsense通过第二个WAN连接路由流量。
可以在系统->网关->日志下,查看相应记录。
在第一个WAN连接恢复之后,流量再次通过该连接传递。
负载平衡配置
粘性连接可确保属于某个连接的数据包通过同一WAN连接进行路由。
负载平衡可用于在两个或多个ISP之间分配流量负载。如果两个WAN连接具有不同的带宽,则可以使用权重参数来调整不同的负载量,这可以增加可用的互联网带宽。
负载平衡设置步骤如下:
- 设置网关组,连接层级设为同一层级,根据带宽大小设置不同的网关的权重,并将防火墙默认规则的网关设为网关组。
- 选中“防火墙”->“设置”->“高级”下的“粘性连接”选项,将现有连接的后续数据包通过相同的WAN连接路由到Internet 。还可以设置源跟踪超时,以便在连接结束后的特定时间内,数据包仍然可以通过相同的WAN连接路由到相同目标IP地址。
- 如果WAN连接具有不同的带宽,则可以调整各个网关的权重。假定第一个WAN连接为10 Mbps带宽、第二个WAN连接为20 Mbps带宽,则第一个网关的权重(weight)可以设置为1,第二个网关权重可以设置为2。
- 自动生成回复规则:为了确保通过与输入数据包相同的WAN连接发送回复数据包,OPNsense使用自动生成的回复规则。因此,无法与直接位于同一IP网络(第2层网络)中的其他计算机(标准网关除外)进行通信。
- 具有2个DHCP WAN接口的多WAN:当使用两个WAN接口(每个接口都使用DHCP获取IP地址)时,OPNsense 20.1 *需要安装补丁
opnsense-patch 0e2751d。OPNsense 20.7测试版已包含此修补程序。
后记:在20.7以后的版本中,采用以上方法配置负载平衡和故障转移后,必须启用防火墙的Unbound DNS,客户端DNS指定为防火墙的LAN网关,才能正常启用负载平衡和故障转移功能,正常访问网络。如果不做故障转移,只进行负载平衡,请取消选中防火墙高级选项中的“粘性连接”选项。
多wan负载均衡情况下,如果同时打开“粘性连接”和“共享转发”,会有部分的流量转发不出去的问题,并且在wan口上抓不到任何流量,日志也没有显示。在22.7.10版本下测试,这两个选项只能二选一,如果关闭共享转发,流量整形等有些功能就不一定能生效.