Master One
New Member
Ich bin ein OpenBSD Newbie, und habe vor, in naher Zukunft einen Firewall Router damit einzurichten. Es geht dabei um ein Setup mit 4 Netzwerkkarten und zwei verschiedenen ADSL Leitungen:
rl0: ADSL 2048/512
rl1: ADSL 4096/768
re0: DMZ
re1: LAN
Beide ADSL Leitungen sollen gebündelt werden, um damit die Down-/Upload-Bandbreiten zu kombinieren. Soweit ich bisher lesen konnte, sollte TRUNK dafür in Frage kommen.
Das Problem ist nun folgendes:
Ein Rechner in der DMZ soll dazu gezwungen werden, ausschließlich die ADSL Leitung mit 4096/768 zu benutzen, die anderen Computer in der DMZ oder dem LAN sollen über das virtuelle Trunk-Interface auf das Internet zugreifen können, und somit von der kombinierten Bandbreite profitieren zu können.
Mein Hauptfrage ist nun: Kann auf das physikalische Interface rel1 überhaupt zugegriffen werden, obwohl dieses ein Teil des virtuellen Trunk-Interfaces ist?
In OpenBSD 3.8 gibt es ja nur den Round-Robin Algorithmus, der für diese Trunk-Anwendung in Frage kommt, und dieser scheint ziemlich einfach zu sein. Wird es damit dennoch möglich sein, die zwei ADSL Leitungen mit unterschiedlichen Bandbreiten auch bei hoher Auslastung problemlos zu benutzen, und wie wird es es sich auswirken, wenn auf rl1 von dem einen Rechner in der DMZ direkt zugegriffen wird?
Kann vielleicht jemand ein Beispiel für ein passendes PF-Firewall Ruleset geben, wie man diese Situation handhaben könnte?
Oder gibt es überhaupt einen besseren Ansatz für den gewünschten Einsatz?
Ich meine, "Round-Robin" scheint keine Analyse der Auslastung oder Bandbreite auf den beiden physikalischen Interfaces vorzunehmen, um jenes Interface zu bevorzugen, das die höhere Bandbreite bzw. geringere Auslastung aufweist, da es die Pakete ja einfach nur nur zirkular auf die verfügbaren Ports verteilt, richtig? Wäre in diesem Fall irgendeine Form von zusätzlichem Traffic Shaping sinnvoll, oder bedeutet dies, daß Trunk überhaupt keine gute Idee für diesen Einsatzzweck ist?
Jeder Input ist herzlich willkommen.
rl0: ADSL 2048/512
rl1: ADSL 4096/768
re0: DMZ
re1: LAN
Beide ADSL Leitungen sollen gebündelt werden, um damit die Down-/Upload-Bandbreiten zu kombinieren. Soweit ich bisher lesen konnte, sollte TRUNK dafür in Frage kommen.
Das Problem ist nun folgendes:
Ein Rechner in der DMZ soll dazu gezwungen werden, ausschließlich die ADSL Leitung mit 4096/768 zu benutzen, die anderen Computer in der DMZ oder dem LAN sollen über das virtuelle Trunk-Interface auf das Internet zugreifen können, und somit von der kombinierten Bandbreite profitieren zu können.
Mein Hauptfrage ist nun: Kann auf das physikalische Interface rel1 überhaupt zugegriffen werden, obwohl dieses ein Teil des virtuellen Trunk-Interfaces ist?
In OpenBSD 3.8 gibt es ja nur den Round-Robin Algorithmus, der für diese Trunk-Anwendung in Frage kommt, und dieser scheint ziemlich einfach zu sein. Wird es damit dennoch möglich sein, die zwei ADSL Leitungen mit unterschiedlichen Bandbreiten auch bei hoher Auslastung problemlos zu benutzen, und wie wird es es sich auswirken, wenn auf rl1 von dem einen Rechner in der DMZ direkt zugegriffen wird?
Kann vielleicht jemand ein Beispiel für ein passendes PF-Firewall Ruleset geben, wie man diese Situation handhaben könnte?
Oder gibt es überhaupt einen besseren Ansatz für den gewünschten Einsatz?
Ich meine, "Round-Robin" scheint keine Analyse der Auslastung oder Bandbreite auf den beiden physikalischen Interfaces vorzunehmen, um jenes Interface zu bevorzugen, das die höhere Bandbreite bzw. geringere Auslastung aufweist, da es die Pakete ja einfach nur nur zirkular auf die verfügbaren Ports verteilt, richtig? Wäre in diesem Fall irgendeine Form von zusätzlichem Traffic Shaping sinnvoll, oder bedeutet dies, daß Trunk überhaupt keine gute Idee für diesen Einsatzzweck ist?
Jeder Input ist herzlich willkommen.
