Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy Routing mal anders

Hallo Gemeinde,

Folgendes sei gegeben:

Eine Astaro Softappliance auf Serverhardware mit 6 NIC's. 

2xWan
1xinternes Netz
1xRepararturnetz
1xLabornetz
1xServerwartungsnetz

Nun möchte ich nicht das klassische Policy Routing, sondern ich möchte folgendes realisieren.

Bsp http Traffic vom internen Reparaturnetz soll über WAN Interface 2 raus, während der Traffic der restlichen internen Netze über Wan Interface 1 raus soll. Als Grund sin die benötigten unterschiedlichen öffentlichen IP's genannt sowie die Entlastung der Hauptleitung.

Dies habe ich so mit Policy Routing nicht hinbekommen. Wenn ich mit Snat anfange, setzt er  jeglichen HTTP Traffic über das WAN 2 ab und gibt die entsprechende IP mit.Das will ich aber so nicht. Lediglich das Reparaturnetz soll über WAN 2 raus. Wenn dies nicht für einzelne Protokolle möglich ist, könnte ich auch damit leben, dass jeglicher Traffic aus Reparaturnetz über WAN2 raus geht. Dies funktioniert mangelns Standardgatewayeintrag auch nicht so.

Vielleicht hab ich was übersehen oder ihr habt nen Tipp für mich..

Ralf


This thread was automatically locked due to age.
Parents
  • Hallo Ralf,

    komplettes Netz auf ein anders Wan zu routen , sollte via PolicyRoute ohne Probleme gehen. Hier gibst nur (bekannte??) Probleme wenn WAN2 nicht erreichbar ist.

    Es geht auch auch, daß Labor/Reparatur/Servernetz über internen Proxy nach aussen über Wan2 rausgehen.
    Hier gibst nur (bekannte??) Probleme wenn Wan2 kurzzeitig nicht erreichbar ist. [:)]

    Gregor Kemter
  • Hallo und guten Morgen,

    zu den WAN Interfaces noch Infos:

    das eine ist ein 10Mbit SDSL mit 8er Ripe Netz.

    das 2. Wan, über das das Reparaturnetz raus soll, ist eine 2Mbit Baip Leitung, ebenfalls mit 8er Ripe Netz.

    Das allerlustigste ist nun, selbst wenn ich dem Reparaturnetz im Masquerading komplett verbiete, über irgendwein WAN rauszugehen, bekomme ich trotzdem eine Verbindung, allerdings immer mit der öffentlichen IP des Wan1 (10mbit Hauptanbindung) Normalerweise sollte das Reparaturnetz ja dann gar nicht ins Inet kommen.

    Steh da momentan auf dem Schlauch. Muss ich ggf die öffentliche IP vom Wan2 als alternative Adresse für das WAN1 eintragen wegen dem Standardgateway? Dieses ist ja nur einmal zu definieren möglich und derzeit für WAN1 vergeben. Allerdings kann ich die öffentliche IP des WAN2 von aussen anpingen, da diese auch zum Empfangen unserer Mails (Backup MX) verwendet wird. Eine Definition für das Gateway des WAN2 habe ich ebenfalls erstellt.


    Vielen Dank vorab,

    Ralf
Reply
  • Hallo und guten Morgen,

    zu den WAN Interfaces noch Infos:

    das eine ist ein 10Mbit SDSL mit 8er Ripe Netz.

    das 2. Wan, über das das Reparaturnetz raus soll, ist eine 2Mbit Baip Leitung, ebenfalls mit 8er Ripe Netz.

    Das allerlustigste ist nun, selbst wenn ich dem Reparaturnetz im Masquerading komplett verbiete, über irgendwein WAN rauszugehen, bekomme ich trotzdem eine Verbindung, allerdings immer mit der öffentlichen IP des Wan1 (10mbit Hauptanbindung) Normalerweise sollte das Reparaturnetz ja dann gar nicht ins Inet kommen.

    Steh da momentan auf dem Schlauch. Muss ich ggf die öffentliche IP vom Wan2 als alternative Adresse für das WAN1 eintragen wegen dem Standardgateway? Dieses ist ja nur einmal zu definieren möglich und derzeit für WAN1 vergeben. Allerdings kann ich die öffentliche IP des WAN2 von aussen anpingen, da diese auch zum Empfangen unserer Mails (Backup MX) verwendet wird. Eine Definition für das Gateway des WAN2 habe ich ebenfalls erstellt.


    Vielen Dank vorab,

    Ralf
Children
  • naja... da muss man auch mal draufkommen.

    Policy Routing geht nun wie gewünscht.

    Der Grund, warum er immer aus allen Netzen mit der IP vom Wan 1 rausgegangen ist... War der Webproxy. Wenn das Reparaturnetz dort rausnehme, geht es wunderbar. Sobald ich wieder hineintue, geht er über die Ip vom Wan1 raus.

    Gut, ich kann mit der Lösung leben, dass das Reparaturnetz nicht "gewebproxyed" wird, aber ich denke, da sollte es noch eine andere Lösung für geben.

    Bis dahin schönen Tag noch,

    Ralf
  • PolicyRouting geht auch mit HHTP-Proxy.
    In Astaro KB wird es beschrieben