多WAN场景通常用于故障转移或负载平衡,也可以组合使用。
故障转移
要配置故障转移,请按以下步骤操作:
- 网关添加监控IP
- 添加网关组
- 网关配置 DNS
- 使用基于策略的路由来利用网关组
- 为防火墙本身的DNS 流量添加防火墙规则
我们的示例使用了两个之前配置的 WAN 网关,这两个网关均已确认可以单独运行。作为DNS和监控IP,我们将使用 google 的 DNS 服务 8.8.8.8 和 8.8.4.4,你也可以使用其他地址。
我们定义了WAN和WAN2,其中WAN将是我们的主要(默认)网关。
添加监控IP
如果您已经设置了监控IP并且两个网关都显示为在线,则可以跳过此步骤。要添加监控 IP,请转到系统 ‣ 网关 ‣ 配置,然后单击第一个铅笔符号来编辑第一个网关。
配置如下:
| 禁用网关监控 | 不选 | 确保已启用监控 |
| 监控IP | 8.8.8.8 | 使用Google的 DNS |
| 将网关标记为关闭 | 不选 |
然后单击第二个铅笔符号来编辑第二个网关。
配置如下:
| 禁用网关监控 | 不选中 | 确保已启用监控 |
| 监控IP | 8.8.4.4 | 使用Google的第二个 DNS |
| 将网关标记为关闭 | 不选 |
添加网关组
转到系统‣网关‣组,添加网关组。
使用以下设置:
| 组名 | WANGWGROUP | |
| 网关优先级 | WANGW/层级一 | |
| .. | WAN2GW/层级二 | |
| 触发级别 | 数据包丢失 | 选择要使用的触发器 |
| 描述 | Failover Group | 输入描述 |
触发级别说明
-
- 成员掉线:当网关有 100% 数据包丢失时触发。
-
- 数据包丢失:当网关的数据包丢失高于定义的阈值时触发。
-
- 高延迟:当网关的延迟高于其定义的阈值时触发。
-
- 数据包丢失或高延迟:上述任一情况发生时均会触发。
配置DNS
转到系统 ‣ 设置 ‣ 常规,确保每个网关都有自己的 DNS 设置:如下所示:
DNS 服务器
| 8.8.8.8 | WANGW |
| 8.8.4.4 | WAN2GW |
策略路由
导航到防火墙‣规则,更新默认的 LAN 通行规则。单击此规则旁边的铅笔(默认允许 LAN 进入任何规则)。将网关选项更改为WANGWGROUP。保存并应用更改。
此规则将利用网关组来处理来自我们 LAN 网络的所有流量。这也意味着,发往防火墙本身的流量将被路由到这个方向。这就是为什么需要步骤 5 来处理往返于防火墙本身的 DNS 转发器的 DNS 流量。
基于策略的路由会跳过正常的系统路由。由于默认的“允许 LAN 到任何”规则将“任何”设置为目标,因此触发此规则的任何流向其他内部网络(VPN 隧道通常如此)的流量也将通过网关组路由。为了避免这种情况,您可以在此默认规则之前创建一个规则,以允许流量流向那些未设置网关的网络。
DNS允许规则
在默认LAN允许规则上方添加一条规则,以确保往返于端口 53(DNS)上的防火墙的流量不会被路由到我们刚刚定义的网关组。
输入以下详细信息:
| 操作 | 通过 | 允许此流量通过 |
| 接口 | LAN | |
| TCP/IP 版本 | IPv4 | 使用 IPv4 |
| 协议 | TCP/UDP | 选择正确的协议 |
| 源 | and | |
| 目标 | 单主机或网络 | |
| 目标 | 192.168.1.1/32 | 防火墙的 IP 仅限 /32 |
| 目的端口范围 | DNS – DNS | 仅 DNS |
| 类别 | DNS | 参阅 按类别组织 PF 规则 |
| 描述 | Local Route DNS | 自由选择描述 |
| 网关 | 默认 | 选择默认 |
当使用 Unbound 进行 DNS 解析时,您还应该 通过系统->设置->常规启用默认网关切换,因为本地生成的流量将仅使用当前默认网关,如果没有此选项,则默认网关不会改变。
高级选项
对于每个网关,您可以使用多个高级选项来更改默认行为/阈值。这些选项可以在 系统 ‣ 网关 ‣ 配置下更改,
负载平衡
要设置负载平衡,请遵循与故障转移相同的配置过程,但在步骤 2 中为两个网关选择相同的层级。这会将行为从故障转移转变为两个网关之间的平等平衡。当使用具有相同层的多个网关时,需要在防火墙 ‣ 设置 ‣ 高级中禁用共享转发。
粘性连接
有些网站不喜欢在同一会话中更改请求 IP,这可能会导致意外行为。要解决这个问题,您可以使用粘性连接选项,这将确保同一用户对同一网站的每个后续请求都通过同一网关发送。可以在“防火墙 ‣ 设置 ‣ 高级”下设置此选项。
权重调整
如果您采用非对称设置,其中一个 ISP 的带宽远高于另一个 ISP,那么您可以在每个网关上设置权重以更改负载平衡。例如,如果您有一条 10 Mbps 的线路和一条 20 Mbps 的线路,则将第一个网关的权重设置为 1,将第二个网关的权重设置为 2。这样,第二个网关处理的流量将是第一个网关的两倍。可以在系统 ‣ 网关 ‣ 配置,单击要更新的网关旁边的铅笔图标,在高级部分调整权重值。
结合使用
要将负载平衡与故障转移结合起来,需要有2个或更多 WAN 连接用于平衡目的,以及 1 个或更多用于故障转移。OPNsense 提供 5 个层级(故障转移组),每个层级可以容纳多个ISP/WAN 网关。
相关文章:
能出一个23.1版本的双wan支持iptv设置教程吗
没有测试环境。不建议把简单问题复杂化,要用IPTV,建议电视盒子直接连一根网线到光猫,在光猫上将IPVT业务绑定到该接口即可。
大佬,我将opnsense配置为了透明模式,用来桥接使用IPS,其中WAN口和一个LAN组了一个桥,开启IPS,一个LAN用于管理口,但是目前发现,这样配置后,opnsense无法访问互联网更新IPS规则,请问如何设置才能生效,或者说像路由器一样,配置多WAN口实现访问呢
设置太复杂了,我也没测试过。非常不建议在透明模式下使用IPS,哪怕做二级路由器也比这个好。