Webserver soll über feste Schnittstelle antworten

Hallo zusammen,

folgendes Ausgangsszenario:

- Wir haben eine UTM mit zwei Schnittstellen zum Internet, einmal SDSL (10 Mbit) und einmal ADSL (100 Mbit) (beide vom gleichen Provider)

- Uplink Ausgleich für die beiden Schnittstellen ist eingerichtet

- Eine Multipfadregel für den Ausgehenden Verkehr über die ADSL Schnittstelle ist angelegt, wobei die DMZ ausgenommen ist von dieser Regel.

- Die SDSL Anbindung hat eine zusätzliche feste öffentliche IP-Adresse über die der Webserver (liegt in der DMZ) angesprochen wird.

- Unter Webserver Protection ist die Weiterleitung von der festen öffentlichen IP zum eigentlichen Webserver eingerichtet.

Nun zum Problem:

Die Nutzer des Providers, von denen wir auch die beiden DSL Anschlüsse haben, können nicht mehr auf den Webserver zugreifen. Bei einem Tracert wird ab einem bestimmten Punkt die Anfrage verworfen.

Nutzer von anderen Providern haben kein Problem auf den Webserver zuzugreifen. 

Die Aussage des Providers ist: "Es muss sichergestellt sein, dass Anfragen auf den Netzbereich Ihres Ethernet Vertrages auch durch diesen beantwortet werden (Policy-based routing), ansonsten verwerfen Endgeräte die Pakete, da Sie durch die korrekte Adresse beantwortet werden."

Sobald ich die ADSL-Schnittstelle abdrehe ist der Zugriff auf den Webserver möglich.

Ich hab es schon mit Multipfadregeln und mit Richtlinienrouten probiert, bin jedoch leider noch nicht zum gewünschten Ergebnis gekommen.

Hat da jemand vielleicht eine Idee was ich noch probieren könnte?

  • In der Webserververöffentlichung gebe ich doch unter "virtual Webserver" eine Schnittstelle mit gebundener IP an.

    Dabei sollte es sich doch bei nur einer festen IP um ein externes Interface mit dieser IP handeln.

    Damit sollten Antwortpakete das gleiche Interface verwenden, wie die "Anfrage-Pakete".

    Oder liegt die feste-IP in der DMZ? Dann könnte eine multipath-regel "alles von der festen IP -> Interface SDSL" helfen.

    Per tcpdump/Wireshark kann geprüft werden, auf welchem Interface die Verbindungen tatsächlich kommen/gehen.

  • Hallo Fabian,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    Please show us the trace route that dies and another from the same device that doesn't.  If you prefer, obfuscate IPs like 84.XX.YY.121, 10.X.Y.100, 192.168.X.200 and 172.2X.Y.51.  That lets us see immediately which IPs are local and which are identical.

    MfG - Bob (Bitte auf Deutsch weiterhin.)