在 OPNsense 中,可以使用多个 Internet 连接(WAN 连接)。多 WAN 可以运行在故障转移、或负载平衡模式下,又或者两者的组合。本文将介绍多 WAN 的故障转移模式配置。
添加另一个 WAN 接口
多 WAN 故障转移至少需要两个 WAN 连接。在已有第一个 WAN 连接的基础上,相应地配置第二个 WAN 连接,这个 WAN 接口可以是静态 IP,也可以是 PPPOE 拨号,本文采用 PPP 拨号方式创建第二个 WAN 接口。
在接口 -> 接口分配下选择先前创建的 ppp0 接口。
点击右侧的 加号 添加一个新接口 OPT1。
点击新创建的接口 OPT1。描述名称填写:WAN2。
填写 PPP 的参数,点击 保存,点击 “应用更改”。
如果你的连接没有问题的话,现在可以在仪表板中看到两个 WAN 的连接情况。
设置监控 IP
现在设置监控 IP 以来监控两个 WAN 连接情况。本文中,我们采用公共 DNS 服务器 8.8.8.8 和 9.9.9.9。
导航到“系统” -> “网关” -> “单个”下,单击第一个网关右边的 “编辑” 图标。
在监控 IP 栏填写上述数值并保存。
单击第二个网关上的 “编辑” 图标。
在监控 IP 栏填写上述数值并保存。
更改已应用。
设置网关组
导航到系统 -> 网关 -> 组,点击右侧 添加组。
如图所示填写设置。触发条件选丢包。故障转移的层级一个选 1,一个选 2。如果是负载平衡,则设置为相同的层级,根据带宽的不同,再设置不同的权重。
点击 保存。
点击 “应用更改”。
更改已应用。
设置网关的 DNS
在系统 -> 设置 -> 常规下,为每一个 WAN 连接填写好相应的 DNS 服务器地址。
设置基于策略的路由
导航到“防火墙” -> “规则” -> “LAN”,点击默认 IPv4 通过规则右侧的 “编辑” 按钮。
在网关栏,选择前面设置的网关组:WANGWGROUP。
点击 保存。
点击 “应用更改”。
更改已被接受。
设置 DNS 防火墙规则
导航到“防火墙” -> “规则” -> “ LAN”,单击 添加新规则。
根据自己的 LAN 地址设置情况,填写如图所示设置。
选中规则左侧的复选框,将规则移动到默认规则最前面。
然后点击 “应用更改”。
更改已被接受。
故障转移测试
断开其中的一个连接。
第一个 WAN 连接发生故障。
短时间后,丢包率显示为 100%。现在,OPNsense 通过第二个 WAN 连接路由流量。
可以在系统 -> 网关 -> 日志下,查看相应记录。
在第一个 WAN 连接恢复之后,流量再次通过该连接传递。
负载平衡配置
粘性连接可确保属于某个连接的数据包通过同一 WAN 连接进行路由。
负载平衡可用于在两个或多个 ISP 之间分配流量负载。如果两个 WAN 连接具有不同的带宽,则可以使用权重参数来调整不同的负载量,这可以增加可用的互联网带宽。
负载平衡设置步骤如下:
- 设置网关组,连接层级设为同一层级,根据带宽大小设置不同的网关的权重,并将防火墙默认规则的网关设为网关组。
- 选中“防火墙” -> “设置” -> “高级”下的 “粘性连接” 选项,将现有连接的后续数据包通过相同的 WAN 连接路由到 Internet 。还可以设置 源跟踪超时,以便在连接结束后的特定时间内,数据包仍然可以通过相同的 WAN 连接路由到相同目标 IP 地址。
- 如果 WAN 连接具有不同的带宽,则可以调整各个网关的权重。假定第一个 WAN 连接为 10 Mbps 带宽、第二个 WAN 连接为 20 Mbps 带宽,则第一个网关的权重(weight)可以设置为 1,第二个网关权重可以设置为 2。
其他注意事项:
- 自动生成回复规则:为了确保通过与输入数据包相同的 WAN 连接发送回复数据包,OPNsense 使用自动生成的回复规则。因此,无法与直接位于同一 IP 网络(第 2 层网络)中的其他计算机(标准网关除外)进行通信。
- 具有 2 个 DHCP WAN 接口的多 WAN:当使用两个 WAN 接口(每个接口都使用 DHCP 获取 IP 地址)时,OPNsense 20.1 需要安装补丁
opnsense-patch 0e2751d。OPNsense 20.7 测试版已包含此修补程序。
后记:在 20.7 以后的版本中,采用以上方法配置负载平衡和故障转移后,必须启用防火墙的 Unbound DNS,客户端 DNS 指定为防火墙的 LAN 网关,才能正常启用负载平衡和故障转移功能,正常访问网络。如果不做故障转移,只进行负载平衡,请取消选中防火墙高级选项中的“粘性连接”选项。
觉得内容不错?我要
