Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy Routes - Paket Filter

Tag Board.

Wir haben eine SDSL 2MBit Leitung für Mail und eine ADSL 16MBit Leitung für HTTP und FTP. Mittels Policy Routing werden die Dienste entsprechend aufgetrennt. Die Policy Routes funktionieren nicht mehr wenn im Paketfilter diese Dienste durch Time-Events oder manuell de- bzw. aktiviert wurden. HTTP und FTP laufen dann wieder unter der default Leitung, also SDSL. Ein manuelles de- bzw. aktivieren der Policy Routes behebt dieses Problem.

Ist etwas umständlich da die Regeln jedes mal manuell angeschubst werden müssen. Man könnte die Time-Events ja ausschalten. Hab ich mir gedacht, hab ich auch getan. Trotzdem wieder das gleiche Problem. Es scheint so das durch die Neueinwahl der ADSL Leitung die Policy Routes ebenfalls außer Kraft gesetzt werden. Die SDSL Leitung hat kein Reconenct. 

Ist dies ein normales Verhalten oder handelt es sich hier um einen Bug?

Irgendeiner der die gleichen Erfahrungen gemacht hat? 

Model: ASG220
Firmware version: 7.200

Gruß

Worx


This thread was automatically locked due to age.
Parents
  • Moin,

    Also ich hab noch 7.104 im Einsatz, allerdings auch mit Policy Routing, da wir insg. 3 Leitungen haben, 2 x SDSL statisch, 1 x SDSL PPPoE.
    Allerdings kann ich das, was du dort beobachtest nicht nachvollziehen. Dies kann natürlich an der neuen Version 7.200 liegen oder an einer "fehlerhaften" Policy Routing Einstellung.
    Kannst du mir mal bitte die deine Policy Routing Config hier posten?

    Grüße

    Schroeder
  • Moin auch.

    Hier die Policy Routes 

    1  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  HTTP →  Any

     2  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  HTTPS →  Any

     3  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  HTTP Proxy →  Any
     
     4  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  HTTP WebCache →  Any

     5  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  ICQ Alternativ →  Any

     6  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  FTP →  Any

     7  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  FTP Control →  Any

    PS: Sind alles Gatewayrouten
  • Na ich hoffe das es an entsprehender Stelle gehört wird und es in den nächsten Updates eine Behebung des Problems gibt.

    Bis dahin werde ichs wohl manuell anstoßen müssen.
  • Ehrlichgesagt würde ich das ganze umdrehen. Ich gehe mal davon aus, dass er, wenn die ADSL Leitung ihren reconnect hat, mit dem veränderten Gateway nicht zurecht kommt. Aus diesem Grund wird auch in der Anleitung dazu geraten keine Gateway Route zu machen sondern eine Interface Route.
    Probierst du das damit nochmal aus?
    Ansonsten musst du das ganze umdrehen. Sprich den ADSL Anschluss als Hauptgateway und den SDSLer per Policy Routing regeln. Ich mache das auf diesem Wege und bei mir läuft alles soweit Prima.
    Aber vielleicht probierst du erstmal aus, das ganze als Interface Route laufen zu lassen, was vom Testen her, erstmal der niedrigere Aufwand wäre.

    Grüße

    Schroeder
  • Ja, das ist ne gute Idee. Werde ich mal ausprobieren und berichten.
    Danke
    -
    Hey Thanks.

    So funktioniert es. Beim Reconnect geht er kurzfristig auf die SDSL Leitung, was ich sehr gut finde, danach geht er wieder auf die ADSL Leitung.

    "Problem" somit behoben.

    Beste Grüße
    worx
  • Ich hatte genau das gleiche Problem. Nach ADSL-Reconnect waren die Policy Routes _manchmal_ nicht mehr wirksam, da das entsprechende Default-Gateway zu früh gesetzt werden sollte, als das ppp0 Interface noch nicht da war.

    Ich habe dann einige Zeit mit dem Support zusammen das Problem debuggt und die haben mir dann ein Hotfix-Paket für die 7.103 (ep-mdw-7.1-295.i686.rpm) geschickt. Seitdem gibt es keine Probleme mehr. Die 7.2 stand da kurz bevor und mir wurde auch mitgeteilt, dass es dieser Bugfix nicht mehr in die 7.2 geschafft hat, ich könnte aber bei Bedarf wieder einen Hotfix für diese Version anfordern. Nun gibt es ja schon 7.201, aber die Bugfix-Liste erwähnt nichts von dem Problem.

    Wende dich doch mal vertrauensvoll an den Support mit Bezug auf mein Ticket #2008040810000598.

    -- asem
  • Ja, das ist ne gute Idee. Werde ich mal ausprobieren und berichten.
    Danke
    -
    Hey Thanks.

    So funktioniert es. Beim Reconnect geht er kurzfristig auf die SDSL Leitung, was ich sehr gut finde, danach geht er wieder auf die ADSL Leitung.

    "Problem" somit behoben.

    Beste Grüße
    worx


    Klasse, freut mich!
  • Funktioniert bei euch FTP mit PolicyRouting ?

    Ich habe eine SDSL (def. GW) und eine ADSL Leitung.
    Die Gateway Routen für HTTP/HTTPS funktionieren tadelos,
    nur FTP will nicht. Hier vermute ich daß der FTPConnectionTracker die Policys und Snat ignoriert.

    Gregor Kemter
  • Funktioniert bei euch FTP mit PolicyRouting ?


    Passive FTP mit Astaro als Proxy funktioniert jedenfalls bei uns so.

    -- asem
  • Verwende ausschliesslich passiv FTP, aber sobald ich versuche den FTP Traffic über eine weitere DSL Leitung via Policy zu routen, klappt zwar der Connect, aber sobald Daten transferiert werden geht nix mehr.

    Gregor Kemter
Reply
  • Verwende ausschliesslich passiv FTP, aber sobald ich versuche den FTP Traffic über eine weitere DSL Leitung via Policy zu routen, klappt zwar der Connect, aber sobald Daten transferiert werden geht nix mehr.

    Gregor Kemter
Children
  • Verwende ausschliesslich passiv FTP, aber sobald ich versuche den FTP Traffic über eine weitere DSL Leitung via Policy zu routen, klappt zwar der Connect, aber sobald Daten transferiert werden geht nix mehr.


    Hab das jetzt mal bei uns nachgestellt und es funktioniert auch ohne Proxy über Policy Routing. Siehst du denn irgendwelche DROPs von Source Port 20 auf deine öffentliche dynamische IP in den Logs?

    -- asem
  • FTP mit Policy-Routing für ein Lan-Segment funktioniert bei mir.
    Mit eingeschalteten FTP-Proxy ging es nicht, werde es aber mit der aktuellen beta neu testen.

    Gregor Kemter