Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy Routes - Paket Filter

Tag Board.

Wir haben eine SDSL 2MBit Leitung für Mail und eine ADSL 16MBit Leitung für HTTP und FTP. Mittels Policy Routing werden die Dienste entsprechend aufgetrennt. Die Policy Routes funktionieren nicht mehr wenn im Paketfilter diese Dienste durch Time-Events oder manuell de- bzw. aktiviert wurden. HTTP und FTP laufen dann wieder unter der default Leitung, also SDSL. Ein manuelles de- bzw. aktivieren der Policy Routes behebt dieses Problem.

Ist etwas umständlich da die Regeln jedes mal manuell angeschubst werden müssen. Man könnte die Time-Events ja ausschalten. Hab ich mir gedacht, hab ich auch getan. Trotzdem wieder das gleiche Problem. Es scheint so das durch die Neueinwahl der ADSL Leitung die Policy Routes ebenfalls außer Kraft gesetzt werden. Die SDSL Leitung hat kein Reconenct. 

Ist dies ein normales Verhalten oder handelt es sich hier um einen Bug?

Irgendeiner der die gleichen Erfahrungen gemacht hat? 

Model: ASG220
Firmware version: 7.200

Gruß

Worx


This thread was automatically locked due to age.
Parents
  • Moin,

    Also ich hab noch 7.104 im Einsatz, allerdings auch mit Policy Routing, da wir insg. 3 Leitungen haben, 2 x SDSL statisch, 1 x SDSL PPPoE.
    Allerdings kann ich das, was du dort beobachtest nicht nachvollziehen. Dies kann natürlich an der neuen Version 7.200 liegen oder an einer "fehlerhaften" Policy Routing Einstellung.
    Kannst du mir mal bitte die deine Policy Routing Config hier posten?

    Grüße

    Schroeder
  • Moin auch.

    Hier die Policy Routes 

    1  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  HTTP →  Any

     2  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  HTTPS →  Any

     3  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  HTTP Proxy →  Any
     
     4  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  HTTP WebCache →  Any

     5  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  ICQ Alternativ →  Any

     6  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  FTP →  Any

     7  Target:  Modem_MF1_ADSL
    Selector:  Any →  Internal →  FTP Control →  Any

    PS: Sind alles Gatewayrouten
  • Ich hatte genau das gleiche Problem. Nach ADSL-Reconnect waren die Policy Routes _manchmal_ nicht mehr wirksam, da das entsprechende Default-Gateway zu früh gesetzt werden sollte, als das ppp0 Interface noch nicht da war.

    Ich habe dann einige Zeit mit dem Support zusammen das Problem debuggt und die haben mir dann ein Hotfix-Paket für die 7.103 (ep-mdw-7.1-295.i686.rpm) geschickt. Seitdem gibt es keine Probleme mehr. Die 7.2 stand da kurz bevor und mir wurde auch mitgeteilt, dass es dieser Bugfix nicht mehr in die 7.2 geschafft hat, ich könnte aber bei Bedarf wieder einen Hotfix für diese Version anfordern. Nun gibt es ja schon 7.201, aber die Bugfix-Liste erwähnt nichts von dem Problem.

    Wende dich doch mal vertrauensvoll an den Support mit Bezug auf mein Ticket #2008040810000598.

    -- asem
  • Ja, das ist ne gute Idee. Werde ich mal ausprobieren und berichten.
    Danke
    -
    Hey Thanks.

    So funktioniert es. Beim Reconnect geht er kurzfristig auf die SDSL Leitung, was ich sehr gut finde, danach geht er wieder auf die ADSL Leitung.

    "Problem" somit behoben.

    Beste Grüße
    worx


    Klasse, freut mich!
  • Funktioniert bei euch FTP mit PolicyRouting ?

    Ich habe eine SDSL (def. GW) und eine ADSL Leitung.
    Die Gateway Routen für HTTP/HTTPS funktionieren tadelos,
    nur FTP will nicht. Hier vermute ich daß der FTPConnectionTracker die Policys und Snat ignoriert.

    Gregor Kemter
  • Funktioniert bei euch FTP mit PolicyRouting ?


    Passive FTP mit Astaro als Proxy funktioniert jedenfalls bei uns so.

    -- asem
  • Verwende ausschliesslich passiv FTP, aber sobald ich versuche den FTP Traffic über eine weitere DSL Leitung via Policy zu routen, klappt zwar der Connect, aber sobald Daten transferiert werden geht nix mehr.

    Gregor Kemter
  • Verwende ausschliesslich passiv FTP, aber sobald ich versuche den FTP Traffic über eine weitere DSL Leitung via Policy zu routen, klappt zwar der Connect, aber sobald Daten transferiert werden geht nix mehr.


    Hab das jetzt mal bei uns nachgestellt und es funktioniert auch ohne Proxy über Policy Routing. Siehst du denn irgendwelche DROPs von Source Port 20 auf deine öffentliche dynamische IP in den Logs?

    -- asem
  • FTP mit Policy-Routing für ein Lan-Segment funktioniert bei mir.
    Mit eingeschalteten FTP-Proxy ging es nicht, werde es aber mit der aktuellen beta neu testen.

    Gregor Kemter
  • Hallo, ich versuche eine ähnliche Konfiguration einzurichten. Mir gelingt es aber nicht einmal, eine Route für HTTP erfolgreich umzuleiten. Ich weiss nicht was ich falsch mache.
    Würden Sie mir einen Tipp geben, bzw. wie haben Sie die Einstellungen dafür vorgenommen?

    Gruß 
    astarolearner
  • Network > Routing > Policy Routes

    New Policy Route

    Route Type: Interface Route
    Source Interface: Internal (internes Netz)
    Source Network: Any
    Service: HTTP
    Destination Network: Any
    Target Interface: External Interface (xDSL Leitung)

    Model: ASG220
    Firmware version: 7.200

    -

    Ftp funktioniert bei mir auch nicht wenn Policy Route aktiviert wurde (Anmeldung ja, Verzeichnisliste nein und timeout). Vielleicht muss ich da noch eine NAT Regel definieren die auf die neue DSL Verbindung zeigt. Muss ich mal austesten, aber derzeit ist unser ADSL Modem defekt und warte auf ein neues. Muss ich mich erstmal mit der SDSL Leitung vergnügen.
  • Auch mit Nat-Regeln funktioniert FTP über Policy-Routing nicht.
Reply Children
  • Das kann nicht funktionieren, da FTP zufällige Ports verwendet. 
    Es würe nur funktionieren, wenn man das ganze logisch tauscht. Alles was sonst über Policy Routing über die zweite Leitung geschickt worden wäre, wird über die primäre geschickt. Die zweite Leitung wird also der Standard Gateway. Die eigentlich erste Leitung, über die zum Beispiel HTTP und POP3 / SMTP laufen soll, wird über Policy Routing geregelt, da das dort greifbar ist mit festen Ports.

    Im Moment kann man in der Astaro keine Portranges per Policy Routing weitergeben, von daher scheidet der eigentlich logische Weg, eine feste Portrange im Client anzugeben, weg. Bei vielen Clients gibt es die Möglichkeit (Limit Local Port Range) wenn man das macht, für 1000 Ports und diese Ports dann im Policy Routing als Range angeben könnte, dann wäre das kein Prob.

    Grüße

    Schroeder