Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro 7 mit 2 verschiedenen WAN-Interfaces

Hallo zusammen,

ich betreibe eine Astaro in der Version 7 (die Software-Lösung) und habe dabei eine Konfiguration mit je einem Interface für WAN, LAN und DMZ.
Da aufgrund verschiedener Anforderungen eine feste IP-Adresse benötigt wird, haben wir eine relativ teure Internetleitung deren feste IP an das WAN-Interface gebunden ist.
Meine Frage ist nun, ob die Möglichkeit besteht, ein zweites WAN-Interface zu betrieben, das mit einer billigen Standard-Flatrate-Anbindung verbunden ist und den Traffic je nach seiner Art gezielt über dieses Interface laufen zu lassen.
Im konkreten Fall sollte Traffic für VPN und Email nach wie vor über das Interface mit der festen IP laufen während z. B. alle Anfragen des Proxys über das zweite WAN-Interface gehen sollten.
Hat jemand eine ähnliche Konstellation in Betrieb und ist das überhaupt machbar? Vielleicht hat ja jemand eine Idee. Vielen Dank vorab für Eure Kommentare.


This thread was automatically locked due to age.
Parents
  • Das geht ohne Probleme mit Policy Routing.
    Folge dem Link in meiner Signatur als Hilfestellung um die IP des WAN#2 erstmal grundsätzlich verfügbar zu machen.
    Dann kannst du Policy Routing Regeln erstellen die wie folgt aussehen:

    Route Type: Gateway Route
    Soure Network: Dein internes Netz
    Service: HTTP / HTTPS je nachdem was du willst, du musst nur für jedes Protokoll (Port) eine eigene Regel erstellen.
    Destination Network: any
    Gateway: den Gateway deines WAN#2


    Das wars auch schon.
    Ich route bei uns VPN, und E-Mail über eine andere Leitung als den Default Gateway. Die dritte Leitung ist nur für IPSec-VPN und die erste grundsätzlich für Web-Access zuständig.

    Grüße

    Schroeder
  • Hi,

    erstmal danke mir hat diese kleine Beschreibung auch geholfen, ging zuerst nicht, allerdings hatte ich die Nateinstellung -> Internal -> WAN2 vergessen [8-)]

    Aber wie bring ich den Proxy dazu sämtlichen Verkehr über die WAN2 zu routen, über die Port's geht's ja, nur der Proxyverkehr geht noch immer über WAN1.

    Einfach den Port 8080 ins Policy Routing eintragen bringt nichts

    Meine Einstellung sieht wie folgt aus

    Route Type: Gateway Route
    
    Source Interface: Internal
    Soure Network: Internal Network
    Service: HTTP
    Destination Network: any
    Gateway: Gateway WAN2 (Interface WAN2)


    greetz
  • Danke ging auf Anhieb

    Gruß
    =McM=
  • Hallo  zusammen und erstmal herzlichen Dank für die Rückmeldungen. Ich habe diese Tipps gerade ausprobiert und war leider nicht so erfolgreich damit, wie manch anderer hier.

    Ausgangssituation war, dass es eine WAN-Leitung mit einer festen IP und einem festen Standardgateway gab, über die bei uns der gesamte Traffic abgewickelt wird.

    Zusätzlich haben wir eine weitere Netzwerkkarte für ein weiteres WAN-Interface eingebunden. Auf diesem Interface liegt eine T-Online DSL-Verbindung mit dynamischer IP-Adresse.

    Die Schnittstelle WAN2 ist für sich genommen auch in Ordnung, denn wenn man diese als Default-Gateway definiert (im Interface) kann man mit dieser Schnittstelle eine Internetverbindung herstellen.

    Allerdings war gewünscht, dass sämtlicher Traffic ausser dem http-Proxy über die WAN1-Schnittstelle mit der festen IP läuft wie bisher.

    Ich bin so vorgeganen:
    unter Policy-Routing einen neuen Eintrag definiert:
    - bei Route-Typ musste ich Interface-Route nehmen, da ich im Feld Gateway nicht die IP des WAN2-Interfaces auswählen kann (liegt wohl an der dynamischen IP?)
    - source interface ist das interne Interface
    - Service ist HTTP
    - Destination ist ANY
    - Gateway ist das Interface WAN2

    Dann habe ich eine Portfilter-Regel definiert, um meinem PC einen direkten HTTP-Zugriff zu erlauben und die Proxyeinstellungen im Browser deaktiviert. Nun sollte ein http-Request des PCs eigentlich dazu führen, dass diese Anfrage über das WAN2-Interface geht. Da passiert aber leider gar nichts. Auch im live-log des Portfilters ist nichts zu sehen.

    Ich habe dann noch versucht, eine zusäzliche SNAT-Regel anzulegen, aber das hat auch nichts gebracht.

    Mir würde es auch genügen, wenn die Astaro selbst allen HTTP-Traffic, der von Clients welche den Proxy nutzen, angefragt wird, über das WAN2-Interface laufen lässt.

    Hat jemand von Euch eine Ahnung, was ich hier falsch mache?

    Danke und Grüße
    Jesko
  • Hast du auch unter Masquerading die Einstellungen gesetzt
    Internal -> WAN1
    Internal -> WAN2
  • Jetzt funktioniert es mit dem HTTP-Proxy:

    Ich habe eine neue Interface-Route angelegt. 
    Source ist die IP des ersten externen Interfaces. 
    Servie = HTTP.
    Destination = Any
    Target Interface = die IP des zweiten externen Interfaces

    zusätzlich muss man eine SNAT-Regel anlegen:
    Traffic Source = IP des ersten externen Interfaces
    Traffic Service = HTTP
    Traffic Destination = Any
    Mode = SNAT
    Source = die IP des zweiten externen Interfaces
    Source Service = HTTP
    Automatic Packet Filter Rules = ON
Reply
  • Jetzt funktioniert es mit dem HTTP-Proxy:

    Ich habe eine neue Interface-Route angelegt. 
    Source ist die IP des ersten externen Interfaces. 
    Servie = HTTP.
    Destination = Any
    Target Interface = die IP des zweiten externen Interfaces

    zusätzlich muss man eine SNAT-Regel anlegen:
    Traffic Source = IP des ersten externen Interfaces
    Traffic Service = HTTP
    Traffic Destination = Any
    Mode = SNAT
    Source = die IP des zweiten externen Interfaces
    Source Service = HTTP
    Automatic Packet Filter Rules = ON
Children