This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing (Statisch oder mit Policies.. und wie?)

Hallo zusammen,

ich habe folgendes Problem.
Ich habe ein System mit ASL (v7) mit 10 NetzwerkInterfaces. Ich moechte hier lediglich fuer ein VLAN die Konfiguration durchgehen - den Rest kann man sicherlich analog durchfuehren.

LAN (192.168.30.0/24) --- ASL-LAN (192.168.30.252) --- ASL-WAN (192.168.230.253 mit der Maske 255.255.255.252) --- ADSL-Router (192.168.230.254 maske 255.255.255.252)

Ich habe zwar bereits mit den Polcies bisschen "gespielt" - doch leider werden die Pakete aus dem LAN nicht durchgereicht.
Bereits die DNS-Anfragen an die 192.168.30.252 werden verworfen.

Als GW & NS fuer das LAN habe ich die 192.168.30.252. Die FW kann keinen Default-GW haben,da ich mehrere WAN-Schnittstellen definieren muss - somit muss es via Routing gehen.
Kann mir jemand von Euch vielleicht sagen, wo ich welche Policies/Routen definieren muss (vielleicht noch SNAT/DNAT?) damit die Kommunikation aus dem LAN ins Internet funktioniert?
Vielleicht gibt es eine vernuenftige Doku oder ein HowTo diesbezueglich?
(Mithilfe der Tools auf der FW kann ich die einzelnen IPs anpingen - offensichtlich klappt das Durchreichen jedoch nicht)

Im Vorals vielen Dank.
//--peter

This thread was automatically locked due to age.

Parents

0 ClausP over 17 years ago

1.) Def- GW sollte existieren und schadet nicht wirklich ! Die ASG Proxis benötigen dieses z.B.

2.) S/DNAT sparen, da dieses scheinbar schon auf dem ADSL Router erfolgt.

3.) Existiert eine Route für das LAN (192.168.30.0/24) auf dem ADSL Router mit dem GW 192.168.230.253 ?
Cancel
Vote Up 0 Vote Down

Cancel
0 peterman over 17 years ago in reply to ClausP

zu 3)
Nein, es existiert bisher keine Route fuer das LAN auf dem ADSL-Router. Recht hast Du / haben Sie ... probiere ich morgen Frueh direkt aus. Danke schoen fuer den Hinweis(!)
Cancel
Vote Up 0 Vote Down

Cancel
0 jenZ over 17 years ago in reply to peterman

Ich habe ein ähnliches Setup hier und normalerweise geht das über Policy Based Routing. Hier gibt es auch eine Anleitung in der Knowledge Base. Leider ist momentan noch ein Bug im PBR, nachdem das PBR vor dem lokalen Routing gemacht wird. Das heißt, wenn du von einem internen Netz in ein anderes möchtest und PBR für das Netz aktiviert hast, klappt es nicht. Ich habe aber einen Support Fall deswegen eröffnet und er ist inzwischen bei der Programmierabteilung angekommen.

Ansonsten läuft das Setup so:
- Default GW auf das WAN Interface von wo aus die Firewall die Up2dates holen soll, bzw. von VPN Verbindungen ankommen sollen.
- Für die Proys kann man spezielle SNAT PBR Kombinationen machen wie im KB beschrieben
- Die Netze, die eine andere Verbindung haben sollen, bekommen ein Masquerading auf das zweite WAN Interface und eine PBR Rule laut KB.

Das wars schon. Wenn der Fehler in der ASG weg ist, sollte es funktionieren. Dort steht übrigens auch drin, wie man verkabeln muss bei Hot-Standby Lösungen.

Gruß
Jens
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 jenZ over 17 years ago in reply to peterman

Ich habe ein ähnliches Setup hier und normalerweise geht das über Policy Based Routing. Hier gibt es auch eine Anleitung in der Knowledge Base. Leider ist momentan noch ein Bug im PBR, nachdem das PBR vor dem lokalen Routing gemacht wird. Das heißt, wenn du von einem internen Netz in ein anderes möchtest und PBR für das Netz aktiviert hast, klappt es nicht. Ich habe aber einen Support Fall deswegen eröffnet und er ist inzwischen bei der Programmierabteilung angekommen.

Ansonsten läuft das Setup so:
- Default GW auf das WAN Interface von wo aus die Firewall die Up2dates holen soll, bzw. von VPN Verbindungen ankommen sollen.
- Für die Proys kann man spezielle SNAT PBR Kombinationen machen wie im KB beschrieben
- Die Netze, die eine andere Verbindung haben sollen, bekommen ein Masquerading auf das zweite WAN Interface und eine PBR Rule laut KB.

Das wars schon. Wenn der Fehler in der ASG weg ist, sollte es funktionieren. Dort steht übrigens auch drin, wie man verkabeln muss bei Hot-Standby Lösungen.

Gruß
Jens
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 peterman over 17 years ago in reply to jenZ

Hallo,

vielen Dank fuer Eure Postings.

@ClausP
Leider hat der RoutingEintrag auf dem DSL-Router keine Aenderungen hervorgerufen.

@jenZ
Meinst Du vielleicht "Service Based Policy Routing (202274)"?
SNAT/DNAT habe ich nicht erstellt, trotzdem klappt es irgendwie nicht bei mir (wahrscheinlich immer noch irgendwo ein Fehler).
DNS-Anfragen werden weiterhin verworfen.
192.168.230.253 ist erreichbar. 192.168.230.254 - Zielhost nicht erreichbar bekommeich hier von der 192.168.30.252 (die als Default-GW auf dem Client fungiert).
Vielleicht koenntest Du mir eine konkrete Konfiguration posten? Ich aergere mich jetzt schon, dass mein Chef umbedingt die Astaro haben wollte, obwohl ich jahrelang OpenBSD betreut habe ...

Muss ich auf den Clients statische routen einrichten? Kann ja wohl auch nicht sein, oder?

Danke im Voraus,
//--peter
Cancel
Vote Up 0 Vote Down

Cancel
0 jenZ over 17 years ago in reply to peterman

Hallo Peter,

auf den Clients muss du nichts machen. Das wäre grauenhaft.

Ich habe die im Knowledgebase mal den Artikel rausgesucht: http://portal.knowledgebase.net/display/2/kb/article.asp?aid=236926
Hier findest du, was du alles einstellen musst.
Wenn du auch die Proxy über eine andere Leitung haben willst, als die mit dem Standart GW, dann musst du das so machen:

1) Network -> Routing -> Policy Routes
1.1) Neue Policy Route mit folgenden Einstellungen:
Route Type: Gateway
Source Interface: Any
Source Network: IP Adresse des externen Interfaces mit der Standard GW
Service: HTTP (Für HTTP Proxy)
Destination: Any
Gateway: Die IP Adresse des anderen Routers über den der Proxy dann Daten schicken soll.
2) Network Security -> NAT -> SNAT
2.1) Neue SNAT Rule mit folgeden Einstellungen:
Traffic Source: IP Adresse des externen Interfaces mit der Standard GW
Traffic Service: HTTP
Traffic Destination: Any
NAT Mode: SNAT
Source: Die IP Adresse des anderen Routers über den der Proxy dann Daten schicken soll
Source Service: HTTP

Nicht vergessen alles zu aktivieren und schon sollte es klappen.

Gruß
Jens
Cancel
Vote Up 0 Vote Down

Cancel
0 peterman over 17 years ago in reply to jenZ

Hallo zusammen,

Jens, danke fuer Dein FeedBack und die Links.
Leider funktioniert es immer noch nicht. Ich werde mich am WE damit detaillierter Beschaeftigen.
Verstehe ich nicht, warum es nicht funktioniert.
Vielleicht habe ich hier ganz einfach ein Verstaendnisproblem.
Denn wenn ich doch diesen Schritt vollziehe:

3) Create the policy route:

Network>>Routing
Select Policy Routes
New Policy Route
Route Type: Gateway Route
Source Interface: DMZ
Source Network: DMZ(network)
Service: Any
Destination: Any
Gateway: WAN2_Gateway

Werden doch alle Pakete, die aus dem DMZ-Netzwerk kommen (bei mir waere dass dann bspw. 192.168.30.0/24) an das 2ten GW geleitet (bei mir DSL-Router). Nur wenn ich bspw. die 192.168.30.252, die ja das "Interne Interface" der Astaro darstellt, anpinge, reicht sie die Pakete offensichtlich an das 2te GW - und ich bekomme keine Antwort.
Nich wirklich ausgereift .... oder ich mache tatsaechlich einen Denkfehler.

Schauen wir mal am WE,
Danke fuer Deine Zeit.

Beste GRuesse,
//**-peter
Cancel
Vote Up 0 Vote Down

Cancel
0 jenZ over 17 years ago in reply to peterman

Nein, dann klappt alles bei dir und das ist genau der Fehler in der Astaro Software, den ich anfangs ansprach. Die arbeiten dran. Ich habe einen Support Case aufgemacht und es ist wohl laut dem techniker inzwischen in der Programmierabteilung angekommen. Die Astaro macht das Routing in der falschen Reihenfolge.

Ist nicht dein Fehler, kannst du am besten so lange deaktivieren, bis die nächste Version mit hoffenlich dem Fix kommt.
Vielleicht kann sich ja mal jemand von Astaro hier melden und sagen, wann es soweit ist.

Gruß
Jens
Cancel
Vote Up 0 Vote Down

Cancel