Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing (Statisch oder mit Policies.. und wie?)

Hallo zusammen,

ich habe folgendes Problem.
Ich habe ein System mit ASL (v7) mit 10 NetzwerkInterfaces. Ich moechte hier lediglich fuer ein VLAN die Konfiguration durchgehen - den Rest kann man sicherlich analog durchfuehren.

LAN (192.168.30.0/24) --- ASL-LAN (192.168.30.252) --- ASL-WAN (192.168.230.253 mit der Maske 255.255.255.252) --- ADSL-Router (192.168.230.254 maske 255.255.255.252)

Ich habe zwar bereits mit den Polcies bisschen "gespielt" - doch leider werden die Pakete aus dem LAN nicht durchgereicht. 
Bereits die DNS-Anfragen an die 192.168.30.252 werden verworfen.

Als GW & NS fuer das LAN habe ich die 192.168.30.252. Die FW kann keinen Default-GW haben,da ich mehrere WAN-Schnittstellen definieren muss - somit muss es via Routing gehen.
Kann mir jemand von Euch vielleicht sagen, wo ich welche Policies/Routen definieren muss (vielleicht noch SNAT/DNAT?) damit die Kommunikation aus dem LAN ins Internet funktioniert?
Vielleicht gibt es eine vernuenftige Doku oder ein HowTo diesbezueglich?
(Mithilfe der Tools auf der FW kann ich die einzelnen IPs anpingen - offensichtlich klappt das Durchreichen jedoch nicht)


Im Vorals vielen Dank.
//--peter


This thread was automatically locked due to age.
Parents
  • 1.) Def- GW sollte existieren und schadet nicht wirklich ! Die ASG Proxis benötigen dieses z.B.

    2.) S/DNAT sparen, da dieses scheinbar schon auf dem ADSL Router erfolgt.

    3.) Existiert eine Route für das LAN (192.168.30.0/24) auf dem ADSL Router mit dem GW 192.168.230.253 ?
Reply
  • 1.) Def- GW sollte existieren und schadet nicht wirklich ! Die ASG Proxis benötigen dieses z.B.

    2.) S/DNAT sparen, da dieses scheinbar schon auf dem ADSL Router erfolgt.

    3.) Existiert eine Route für das LAN (192.168.30.0/24) auf dem ADSL Router mit dem GW 192.168.230.253 ?
Children
  • zu 3)
    Nein, es existiert bisher keine Route fuer das LAN auf dem ADSL-Router. Recht hast Du / haben Sie ... probiere ich morgen Frueh direkt aus. Danke schoen fuer den Hinweis(!)
  • Ich habe ein ähnliches Setup hier und normalerweise geht das über Policy Based Routing. Hier gibt es auch eine Anleitung in der Knowledge Base. Leider ist momentan noch ein Bug im PBR, nachdem das PBR vor dem lokalen Routing gemacht wird. Das heißt, wenn du von einem internen Netz in ein anderes möchtest und PBR für das Netz aktiviert hast, klappt es nicht. Ich habe aber einen Support Fall deswegen eröffnet und er ist inzwischen bei der Programmierabteilung angekommen.

    Ansonsten läuft das Setup so:
    - Default GW auf das WAN Interface von wo aus die Firewall die Up2dates holen soll, bzw. von VPN Verbindungen ankommen sollen.
    - Für die Proys kann man spezielle SNAT PBR Kombinationen machen wie im KB beschrieben
    - Die Netze, die eine andere Verbindung haben sollen, bekommen ein Masquerading auf das zweite WAN Interface und eine PBR Rule laut KB.

    Das wars schon. Wenn der Fehler in der ASG weg ist, sollte es funktionieren. Dort steht übrigens auch drin, wie man verkabeln muss bei Hot-Standby Lösungen.

    Gruß
    Jens
  • Hallo,


    vielen Dank fuer Eure Postings.

    @ClausP
    Leider hat der RoutingEintrag auf dem DSL-Router keine Aenderungen hervorgerufen.

    @jenZ
    Meinst Du vielleicht "Service Based Policy Routing (202274)"?
    SNAT/DNAT habe ich nicht erstellt, trotzdem klappt es irgendwie nicht bei mir (wahrscheinlich immer noch irgendwo ein Fehler).
    DNS-Anfragen werden weiterhin verworfen.
    192.168.230.253 ist erreichbar. 192.168.230.254 - Zielhost nicht erreichbar bekommeich hier von der 192.168.30.252 (die als Default-GW auf dem Client fungiert).
    Vielleicht koenntest Du mir eine konkrete Konfiguration posten? Ich aergere mich jetzt schon, dass mein Chef umbedingt die Astaro haben wollte, obwohl ich jahrelang OpenBSD betreut habe ... 

    Muss ich auf den Clients statische routen einrichten? Kann ja wohl auch nicht sein, oder?

    Danke im Voraus,
    //--peter
  • Hallo Peter,

    auf den Clients muss du nichts machen. Das wäre grauenhaft.

    Ich habe die im Knowledgebase mal den Artikel rausgesucht: http://portal.knowledgebase.net/display/2/kb/article.asp?aid=236926
    Hier findest du, was du alles einstellen musst.
    Wenn du auch die Proxy über eine andere Leitung haben willst, als die mit dem Standart GW, dann musst du das so machen:

    1) Network -> Routing -> Policy Routes
    1.1) Neue Policy Route mit folgenden Einstellungen:
    Route Type: Gateway
    Source Interface: Any
    Source Network: IP Adresse des externen Interfaces mit der Standard GW
    Service: HTTP (Für HTTP Proxy)
    Destination: Any
    Gateway: Die IP Adresse des anderen Routers über den der Proxy dann Daten schicken soll.
    2) Network Security -> NAT -> SNAT
    2.1) Neue SNAT Rule mit folgeden Einstellungen:
    Traffic Source: IP Adresse des externen Interfaces mit der Standard GW
    Traffic Service: HTTP
    Traffic Destination: Any
    NAT Mode: SNAT
    Source: Die IP Adresse des anderen Routers über den der Proxy dann Daten schicken soll
    Source Service: HTTP

    Nicht vergessen alles zu aktivieren und schon sollte es klappen.

    Gruß
    Jens
  • Hallo zusammen,

    Jens, danke fuer Dein FeedBack und die Links.
    Leider funktioniert es immer noch nicht. Ich werde mich am WE damit detaillierter Beschaeftigen.
    Verstehe ich nicht, warum es nicht funktioniert.
    Vielleicht habe ich hier ganz einfach ein Verstaendnisproblem.
    Denn wenn ich doch diesen Schritt vollziehe:

    3) Create the policy route:

    Network>>Routing
    Select Policy Routes
    New Policy Route
    Route Type: Gateway Route
    Source Interface: DMZ
    Source Network: DMZ(network)
    Service: Any
    Destination: Any
    Gateway: WAN2_Gateway

    Werden doch alle Pakete, die aus dem DMZ-Netzwerk kommen (bei mir waere dass dann bspw. 192.168.30.0/24) an das 2ten GW geleitet (bei mir DSL-Router). Nur wenn ich bspw. die 192.168.30.252, die ja das "Interne Interface" der Astaro darstellt, anpinge, reicht sie die Pakete offensichtlich an das 2te GW - und ich bekomme keine Antwort.
    Nich wirklich ausgereift .... oder ich mache tatsaechlich einen Denkfehler.

    Schauen wir mal am WE,
    Danke fuer Deine Zeit.

    Beste GRuesse,
    //**-peter
  • Nein, dann klappt alles bei dir und das ist genau der Fehler in der Astaro Software, den ich anfangs ansprach. Die arbeiten dran. Ich habe einen Support Case aufgemacht und es ist wohl laut dem techniker inzwischen in der Programmierabteilung angekommen. Die Astaro macht das Routing in der falschen Reihenfolge.

    Ist nicht dein Fehler, kannst du am besten so lange deaktivieren, bis die nächste Version mit hoffenlich dem Fix kommt.
    Vielleicht kann sich ja mal jemand von Astaro hier melden und sagen, wann es soweit ist.

    Gruß
    Jens