DSL only LAN Port oder VLAN

      DSL only LAN Port oder VLAN

      Mir ist grade eine Idee gekommen. Am liebsten möchte ich alle Configs auf meine Firewall auslagern (opnsense) und keine großen Einstellungen am SPH vornehmen. Dieser soll ja nur als Router dienen.
      Könnte man einem der SPH LAN Ports eine andere IP geben und den Traffic nur noch über DSL routen? Somit könnte ich in meiner Firewall Regeln erstellen welcher Traffic über Hybrid (SPH LAN1) und welcher über DSL only (SPH LAN2) geht.
      Alternative zum 2. LAN Port wäre ein DSL only VLAN. Hat jemand sowas schonmal umgesetzt, bzw ist es überhaupt möglich?

      Grüße, Benedikt
      Mit (viel) Aufwand geht da sicher was. ...aber einfacher ist es dem opnsense einfach eine zweite IP im gleichen Netz zu verpassen ...und dann diese IP im SPH auf DSL legen. ...im opnsense musste dann entsprechend policy based Routing festlegen, über welche Source die Pakte wann rausgeschickt werden. auf beiden Schnittstellen ist dann der SPH der Next hop. Incomming wirst Du aber immer auch im SPH konfigurieren müssen....

      Grüße

      danXde
      @root: Diff-Serv. Wie es generell funzt, findest Du hier.

      In der Komplettlösung musste einfach in der /opt/bin/fw.sh das # vor dem itp in der Zeile entfernen:

      Quellcode

      1. # DSCP for Gaming
      2. #
      3. #ipt iptables -t mangle -A FWD_FILTER_LIST -m dscp ! --dscp 0x00 -j MARK --set-xmark 0x20000000/0xf0000000


      Wie Du den Opensense umsetzen musst, kann ich nicht sagen.

      Grüße

      danXde
      Danke erstmal für eure Anregungen, finde es echt Hammer was hier so auf die Beine gestellt wird.
      Leider finde ich bezüglich Opnsense nichts, in der Dokumentation von pfsense steht folgendes:
      "pfSense software does not support the setting or changing of DiffServ values, only matching."
      Ich gehe mal davon aus dass Opnsense auch keine DiffServ bits setzten kann.
      Kann man mittels iptables evtl alle Pakete einer gewissen source ip markieren? Dann würde ich der Opnsense 2 WAN IPs geben.

      Grüße, Benedikt

      edit: geht das so?

      Quellcode

      1. ipt iptables -t mangle -A FWD_FILTER_LIST -s 10.10.100.150 -j MARK --set-xmark 0x20000000/0xf0000000

      @danXde ja, die Regel läuft. Leider kann ich in Opnsense nicht vernünftig routen wenn ich keine 2 unterschiedlichen Gateway IPs habe. Somit ist die Lösung mit der zweiten IP an der Opnsense leider erstmal raus. Ich werde mich mal weiter mit der VLAN oder 2 LAN Port Lösung beschäftigen. Alternativ würde auch eine zweite LAN IP für den Speedport im gleichem Subnetz infrage kommen.

      Grüße, Benedikt
      Opnsense kann anscheinend doch DSCP. Unter Firewall -> Settings -> Normalization
      Es müssen 2 Regeln hinzugefügt werden:

      Interfaces: LAN
      Direction: Any
      Protocol: Any
      TOS / DSCP: 0x16
      Source: ip_gaming
      Destination: any

      Interfaces: LAN
      Direction: Any
      Protocol: Any
      TOS / DSCP: 0x16
      Source: any
      Destination: ip_gaming

      Und dann in der /opt/bin/fw.sh folgende Zeilen auskommentieren:

      Quellcode

      1. ​ipt iptables -t mangle -A FWD_FILTER_LIST -m dscp ! --dscp 0x00 -j MARK --set-xmark 0x20000000/0xf0000000
      2. ipt iptables -t mangle -A FWD_FILTER_LIST -m dscp --dscp 0x16 -j MARK --set-xmark 0x20000000/0xf0000000