Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy Routes - Paket Filter

Tag Board.

Wir haben eine SDSL 2MBit Leitung für Mail und eine ADSL 16MBit Leitung für HTTP und FTP. Mittels Policy Routing werden die Dienste entsprechend aufgetrennt. Die Policy Routes funktionieren nicht mehr wenn im Paketfilter diese Dienste durch Time-Events oder manuell de- bzw. aktiviert wurden. HTTP und FTP laufen dann wieder unter der default Leitung, also SDSL. Ein manuelles de- bzw. aktivieren der Policy Routes behebt dieses Problem.

Ist etwas umständlich da die Regeln jedes mal manuell angeschubst werden müssen. Man könnte die Time-Events ja ausschalten. Hab ich mir gedacht, hab ich auch getan. Trotzdem wieder das gleiche Problem. Es scheint so das durch die Neueinwahl der ADSL Leitung die Policy Routes ebenfalls außer Kraft gesetzt werden. Die SDSL Leitung hat kein Reconenct. 

Ist dies ein normales Verhalten oder handelt es sich hier um einen Bug?

Irgendeiner der die gleichen Erfahrungen gemacht hat? 

Model: ASG220
Firmware version: 7.200

Gruß

Worx


This thread was automatically locked due to age.
  • Verwende ausschliesslich passiv FTP, aber sobald ich versuche den FTP Traffic über eine weitere DSL Leitung via Policy zu routen, klappt zwar der Connect, aber sobald Daten transferiert werden geht nix mehr.


    Hab das jetzt mal bei uns nachgestellt und es funktioniert auch ohne Proxy über Policy Routing. Siehst du denn irgendwelche DROPs von Source Port 20 auf deine öffentliche dynamische IP in den Logs?

    -- asem
  • FTP mit Policy-Routing für ein Lan-Segment funktioniert bei mir.
    Mit eingeschalteten FTP-Proxy ging es nicht, werde es aber mit der aktuellen beta neu testen.

    Gregor Kemter
  • Hallo, ich versuche eine ähnliche Konfiguration einzurichten. Mir gelingt es aber nicht einmal, eine Route für HTTP erfolgreich umzuleiten. Ich weiss nicht was ich falsch mache.
    Würden Sie mir einen Tipp geben, bzw. wie haben Sie die Einstellungen dafür vorgenommen?

    Gruß 
    astarolearner
  • Network > Routing > Policy Routes

    New Policy Route

    Route Type: Interface Route
    Source Interface: Internal (internes Netz)
    Source Network: Any
    Service: HTTP
    Destination Network: Any
    Target Interface: External Interface (xDSL Leitung)

    Model: ASG220
    Firmware version: 7.200

    -

    Ftp funktioniert bei mir auch nicht wenn Policy Route aktiviert wurde (Anmeldung ja, Verzeichnisliste nein und timeout). Vielleicht muss ich da noch eine NAT Regel definieren die auf die neue DSL Verbindung zeigt. Muss ich mal austesten, aber derzeit ist unser ADSL Modem defekt und warte auf ein neues. Muss ich mich erstmal mit der SDSL Leitung vergnügen.
  • Auch mit Nat-Regeln funktioniert FTP über Policy-Routing nicht.
  • Das kann nicht funktionieren, da FTP zufällige Ports verwendet. 
    Es würe nur funktionieren, wenn man das ganze logisch tauscht. Alles was sonst über Policy Routing über die zweite Leitung geschickt worden wäre, wird über die primäre geschickt. Die zweite Leitung wird also der Standard Gateway. Die eigentlich erste Leitung, über die zum Beispiel HTTP und POP3 / SMTP laufen soll, wird über Policy Routing geregelt, da das dort greifbar ist mit festen Ports.

    Im Moment kann man in der Astaro keine Portranges per Policy Routing weitergeben, von daher scheidet der eigentlich logische Weg, eine feste Portrange im Client anzugeben, weg. Bei vielen Clients gibt es die Möglichkeit (Limit Local Port Range) wenn man das macht, für 1000 Ports und diese Ports dann im Policy Routing als Range angeben könnte, dann wäre das kein Prob.

    Grüße

    Schroeder