Policy Based Routing und Load Balancing frage

**gizi** · 11. November 2023

Hi,

ich habe einen USG hier schon seit 3 Jahren laufen, funktioniert ganz gut das Teil, Ich habe einen WAN1 an dem ich einen PPPOE2 habe der Telekom.

Das funktioniert auch so wie schon geschrieben super..... Jetzt habe ich noch zusätzlich Stralink an WAN2 gehängt und Load Balancing aktiviert, dass funktioniert auch so wie es soll.

Ich benötige aber Telefon, dass läuft über eine Fritzbox, ich muss sicherstellen das die Fritzbox IMMER über WAN1 läuft sonst geht mein Telefon nicht.

Nach stunden des suchens bin ich auf das hier gestossen:

Zitat

Though this refers to WAN2, it should work the same for WAN1.

Code

configure
set protocols static table 5 route 0.0.0.0/0 next-hop x.x.x.x
set firewall modify LOAD_BALANCE rule 2501 action modify
set firewall modify LOAD_BALANCE rule 2501 modify table 5
set firewall modify LOAD_BALANCE rule 2501 source address 192.168.1.0/24
set firewall modify LOAD_BALANCE rule 2501 destination address y.y.y.y/zz
commit;exit

Where x.x.x.x is the WAN1 gateway and y.y.y.y/zz is the destination address.

Das funktioniert aber NICHT weil ich NICHT auf eine IP adresse verweisen kann, die PPPOE Adresse am Wan1 ändert sich ja immer..... weil Telekom etc....

Dann hab ich das gefunden:

Code

set protocols static table 1 interface-route 0.0.0.0/0 next-hop-interface eth2
set firewall modify LOAD_BALANCE rule 3000 action modify
set firewall modify LOAD_BALANCE rule 3000 modify table 1
set firewall modify LOAD_BALANCE rule 3000 source address 192.168.1.10
set firewall modify LOAD_BALANCE rule 3000 protocol all
commit;save;exit
clear connection-tracking

Hier wird auf das eth2 verwiesen, in dem Fall wäre es ja bei mir das eth0, dass funktioniert aber auch nicht.....

Jemand eine Idee wie ich es hinbekomme das einfach nur die Fritzbox immer über WAN1 geht?

Mit PFSense ist das wohl alles kein Thema und geht sofort, ich wollte aber eigentlich keine PFsense.........

Daher benötige ich eine Lösung mit dem USG

Danke!!

**sebcodes** · 11. November 2023

Moin, kannst du nicht einfach eine Traffic Route setzen? Oder wird die beim Failover ignoriert? Kann das leider nicht testen.

**gizi** · 11. November 2023

Das geht beim usg 3 p wohl nicht, ich habe zumindest das Menü nicht zum konfigurieren....

**sebcodes** · 11. November 2023

Sehe es gerade hier:

UniFi Gateway - Traffic Routes

Traffic Routes is a feature found in the Traffic Management section of your Network application that allows you to send traffic to a specific destination such…

help.ui.com

Geht wohl erst ab dem UXG-Pro und den UDM's

**gizi** · 11. November 2023

Ja, und wegen nur einer Funktion jetzt neu kaufen.... Das sehe ich bisher noch nicht ein.....

**sebcodes** · 11. November 2023

Das stimmt, hatte damals auch ein USG, mich aber nie wirklich damit auseinandergesetzt und kenne mich da jetzt nicht besonders gut aus. Vielleicht haben wir hier auch noch Spezialisten, die letzten Wochen waren hier einige Beiträge wie man bestimmte Geräte auf ein WAN Interface biegt. Ob das aber mit dem USG war, weiß ich nicht mehr.

Habe mal paar Seiten gefunden, weiß nicht ob du die schon durch hast:

https://community.ui.com/questions/USG-Multi-WAN-Policy-based-routing-/236ab39d-ab18-43a3-83ae-4f2f44b37be0

Dual WAN Policy Based Routing with a USG

This article gives some examples on policy based routing with the UniFi Security Gateway. UniFi and the USG models currently support Load Balancing or Failover…

help.gowifi.co.nz

Die beiden sind zwar für EdgeRouter und USG 4 aber CLI ist ja ähnlich:

https://community.ui.com/questions/USG-PRO-4-destination-ip-or-port-based-routing-/ae3a8b04-138b-418e-a665-5157e5c8dcb0

EdgeRouter - Policy-Based Routing

Overview Readers will learn how to configure Policy-Based Routing (PBR) on an EdgeRouter. NOTES & REQUIREMENTS:…

help.ui.com

**gizi** · 11. November 2023

Ja, dass hab ich schon alles durch, geht alles nicht....

**Josuruma** · 11. November 2023

Wenn du die SIP-Server von Telekom hast, kannst du die immer durch WAN1 routen lassen als Static-Route.

**gizi** · 11. November 2023

Hmmm, muss ich mal probieren, kennt jemand der dns der Telekom?

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 11. November 2023

Zitat von gizi

Hmmm, muss ich mal probieren, kennt jemand der dns der Telekom?

Let Me Google That

letmegooglethat.com

**Josuruma** · 11. November 2023

Zitat von gizi

Hmmm, muss ich mal probieren, kennt jemand der dns der Telekom?

Ohne Gewähr aber die müsstest du durch WAN1 routen.

Code

46.80.0.0/12
62.153.0.0/16
62.154.0.0/16
62.155.0.0/16
62.156.0.0/16
62.157.0.0/16
62.158.0.0/16
62.159.0.0/16
62.224.0.0/16
62.225.0.0/16
62.226.0.0/16
79.192.0.0/8
80.128.0.0/11
81.28.64.0/20
84.128.0.0/10
87.128.0.0/11
87.160.0.0/10
91.0.0.0/10
93.192.0.0/10
193.158.0.0/16
193.159.0.0/16
194.25.0.0/16
195.145.0.0/16
195.243.0.0/16
212.184.0.0/16
212.185.0.0/16
217.0.0.0/13
217.80.0.0/12
217.224.0.0/10

Alles anzeigen

**gizi** · 12. November 2023

so, ich hab es hinbekommen, war gar nicht so einfach muss ich sagen.... Das ist die config die funktioniert auf dem USG 3P:

Code

set protocols static table 1 interface-route 0.0.0.0/0 next-hop-interface pppoe2
set firewall modify LOAD_BALANCE rule 3000 action modify
set firewall modify LOAD_BALANCE rule 3000 modify table 1
set firewall modify LOAD_BALANCE rule 3000 source address xxx.xxx.xxx.xxxx[client adresse der druch pppoe soll]/32
set firewall modify LOAD_BALANCE rule 3000 protocol all
commit;save;exit
clear connection-tracking

Kann mir jemand erkären wie ich das jetzt in ein Json bekomme?

**sebcodes** · 12. November 2023

Wäre es nicht einfacher ein bash Skript anzulegen, was du 1x am Tag ausführst? Dann kannst du auch das USG updaten und es wird danach automatisch ausgeführt. Oder du führst es manuell aus.

**gizi** · 12. November 2023

Ne, ist es nicht, vor allem ist das nur Flickschusterei.... mag ich nicht, anbei eine funktionierende json für die USG, damit ist das Problem gelöst

Code

{
    "firewall": {
        "modify": {
            "LOAD_BALANCE": {
                "rule": {
                    "3000": {
                        "action": "modify",
                        "modify": {
                            "table": "1"
                        },
                        "protocol": "all",
                        "source": {
                            "address": "xxx.xxx.xxx.xxx/32"
                        }
                    }
                }
            }
        }
    },
    "protocols": {
        "static": {
            "table": {
                "1": {
                    "interface-route": {
                        "0.0.0.0/0": {
                            "next-hop-interface": {
                                "pppoe2": "''"
                            }
                        }
                    }
                }
            }
        }
    }
}

Alles anzeigen

**sebcodes** · 12. November 2023

Eine Verständnisfrage, woher kommt "table : 5", ist dass das ppopoe1 Interface?

**gizi** · 12. November 2023

Das hab ich um ehrlich zu sein nicht rausgefunden, der Tabel 5 wird überall angegeben, ich hab es auch mit tabel 1 oder 2 oder 3 etc.... versucht, geht auch alles daher glaube ich das die 5 nur Zufall ist!?!?

**sebcodes** · 12. November 2023

Vielleicht auch für die Reihenfolge der Firewalleinträge, wäre tatsächlich interessant zu wissen, aber schön dass es jetzt funktioniert

**gizi** · 12. November 2023

ich glaub auch nur das das ein Sortier Thema ist..... die Rule 300 legt man auch an durch meine Syntax, sollte man vorher schauen das man keine Rule 300 hat. aber wie man die Tables im USG anzeigt keine ahnung.....

**DoPe** · 13. November 2023

Für Policy Based Routing benötigt man mehr als eine Routing Tabelle ... Im dümmsten Fall für jeden Client im LAN eine.

Im Gegensatz zu statischen Routen (wo das Ziel vorgibt welcher weg genommen wird) gibt beim Policy based Routing primär die Quelle vor wo es lang geht. Man braucht also mehr als eine Routing Tabelle. Ob die Tables durchnummeriert werden, man denen Namen verpassen kann oder ähnliches, dürfte wohl eher von der spezifischen Umsetzung im OS/CLI/GUI eines Gerätes sein.

Im Prinzip läuft das in etwa so:

Da kommt ein Paket von einem Client am Router an. Dann wird geschaut ob der Client in irgendeine Policy passt - > so wird dann eine Routing Table ermittelt (wenns nicht passt dann landets in einer Default Table). In der ermittelten Routing Table stehe dann ganz normale Routen die verwendet werden. Alleine durch das existieren mehrerer Routing Tables, ist es ja auch erst möglich, dass unterschiedliche Clients unterschiedliche Routen benutzen können.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Policy Based Routing und Load Balancing frage

5 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 69

Wer war online 150