Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 0 replies
  • Subscribers 38 subscribers
  • Views 927 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy Routing für Experten ;)

Schroeder
Moin,

Mittlerweile ist das Policy Routing eines meiner Lieblingsthemen geworden.

Kurz zur Situation: Ich habe eine ASG 220 7.104, an dieser kommen 3 externe Leitungen an (1 x PPPoE, 2 x SDSL).
Per Policy Routing ist es mir nun gelungen die Last auch auf beide anderen Leitungen zu verteilen. 
Wenn ich nun aber komplette Hosts über eine andere Leitung als den Standartgateway herausgehen lasse, dann sind die SSL-VPN Gegenstellen, die an der Astaro angeschlossen sind nicht erreichbar.
Nun habe ich einen Trick gefunden. Als erste Policy Route gibt man folgende Regel an:
Gateway Rule
Source Network: eigenes Internes Netz
Source Service: any
Source Destination: VPN SSL-Pool
Gateway: VPN SSL-Pool GW IP (Wenn VPN SSL-Pool = 10.0.0.0/24 dann ist die GW IP = 10.0.0.1)

Das funktioniert tadellos und somit lässt sich auch wunderbar arbeiten. Nur haben die Astaro Techs anscheinend eine Plausi-Prüfung eingebaut: Er verweigert mir die Angabe von GW-IPs die schon ander Astaro vorhanden sind, sprich die schon in der Datenbank als lokale IFace IPs angegeben sind. Diese Plausi Prüfung mag auf den ersten Blick logisch sein, weil es ja normalerweise einen Loop erzeugen würde wenn er immer wieder auf sich selbst verweist, nur in meinem Fall habe ich eine Hand voll logischer Gründe warum ich dies brauche. 
Als Beispiel wäre da der Zugang zur DMZ genannt. Wenn ich angeben könnte, dass er alle IPs der DMZ über die DMZ IP welche direkt an der Astaro gebunden ist erreichen kann, dann könnte ich trotz der Policy Route über eine andere Leitung rauszugehen trotzdem noch die DMZ Geräte erreichen.
Ich schreibe es erstmal hier, da ich mal auf euer Feedback gespannt bin und ob das jemand auch so in der Art und Weise nutzt. Als zweiten Schritt werde ich dann über unseren Service Partner einen Request an Astaro stellen lassen, bzw. um Bereinigung bitten, da ich an dieser Stelle eher einen Bug sehe als dass es nützlich wäre.

Grüße

Schröder


This thread was automatically locked due to age.
Unfiltered HTML