Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 38 subscribers
  • Views 8214 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2x DSL, VPN u. Proxy trennen

atctv
Hallo Forengemeinde!

Wir haben eine ASG220 auf der u.a. 3 permantente VPN-Tunnel und ein Proxy mit einer SDSL 2000 Leitung konfiguriert sind.

Da der Internet- und VPN-Verkehr sehr langsam geworden ist, wollte ich die vorhandene ADSL-Leitung zusätzlich nutzen. Wie regele ich das am elegantesten? 

Link Aggregation - bin ich mir nicht sicher ob das bei unterschiedlichen Leitungsarten richtig funktioniert.

Oder, wenn ich über die SDSL nur die VPN-Tunnel laufen lasse und über ADSL den Proxy, weis ich nicht, wie ich das auf der ASG sauber trennen soll. Kann ich das über eine Policy regeln oder kann ich der Netzwerkkarte die über ADSL nach draußen telefoniert eine weitere interne IP zuweisen über den Punkt "Additional Adresses", aber dann weis die Astaro immer noch nicht, dass das die für das Websurfing via Proxy sein soll und die andere, die zurzeit Standard-GW ist, für die VPN-Tunnel ist.

Klar, kann ich in Windows nur ein Standardgateway einstellen, das würde dann den VPN-Tunneln dienen und das Interface, welches über ADSL rausgeht, sollte über eine eigene LAN-IP angesprochen werden, welche in den Browsern als Proxy angegeben wird.

Was kann ich machen?

Vielen Dank im Voraus!

Gruß, Andreas


This thread was automatically locked due to age.
  • 0 in reply to atctv
    >>Die SDSL hat eine fixe IP, die ADSL nicht und ist eine "billig"-Leitung. Die VPN-Verbindungen funktionieren doch auch, warum der SMTP Versand nicht, obwohl ich eine Paketfilterregel dafür definiert habe, schon immer (LAN -> SMTP -> Any)

    es liegt nicht an der Paketfilterregel - das Log zeigt ja auch "grün" an dass Firewallmässig alles passt - sondern mit großer Wahrescheinlichkeit  stört sich der Mailserver daran, wenn du von der ADSL-Leitung mit der dynamschen IP auf ihn zugreifen willst.

    >> - Okay, den Tipp mit dem SMTP via 2. ADSL werde ich beachten, ich werde die Regel, wenn ich sie denn überhaupt benötige an dieser Stelle, auf SDSL umleiten

    Hast du das schon mal gemacht? ich tippe drauf, dass das dein Problem schon löst. also im Detail: mach eine Multipathrule mit:
    src=LAN  dest=ANY  service=SMTP  persistence=by Interface  IF=SDSL)

    Probiers mal aus.

    Wenns dann immer noch nicht funzt würde ich mal mit tcpdump mitsniffen um zu sehen, was für SMTP Pakete zwischen ASG und Provider-Server übertragen werden.
  • 0
    Hallo!
    Danke für die Antwort.
    Ich habe dieses Problem an den Astaro Support weitergeleitet. Es ist wirklich ein Problem im HA (active/passive). Es wird zwischen den beiden ASG´s geclustert sozusagen.
    Laut dem Astaro Support wird das mit der 7.501 gefixt...

    Gruss
  • 0 in reply to deringo
    Hallo!
    Danke für die Antwort.
    Ich habe dieses Problem an den Astaro Support weitergeleitet. Es ist wirklich ein Problem im HA (active/passive). Es wird zwischen den beiden ASG´s geclustert sozusagen.
    Laut dem Astaro Support wird das mit der 7.501 gefixt...

    Gruss

    *SchweißvonderStirnwisch*

    Konnten bei uns nach dem Update das gleiche Phänomen beobachten. Geclusterter Betrieb, der allerdings hinten und vorne nix richtig machte. Dazu eine sehr langsame Verbindung ins Netz. 
    Mal sehen, wann der Fix kommt...
  • 0 in reply to FordPrefect
    Moin Moin,

    also, nachdem ich das Update auf 7.500 gemacht habe, funktionierte bei Uplink Balancing auch das http traffic nicht mehr über die ADSL, also alles ging nur über die SDSL.

    Ich nochmal in jedes Menü reingegangen und geguckt, ob sich was verändert hat, neue Einstellungen möglich sind usw., bis ich auf die Rubik NAT gestoßen bin und gesehen habe, das man jetzt die NAT Regeln sortieren kann. Habe ich natürlich gemacht, mir aber nicht dabei gedacht, das dies Auswirkungen auf mein Uplink Balancing hatte, denn siehe da, plötzlich geht der ganze http traffic über ADSL und der smtp über SDSL - genau so, wie es sein sollte.

    Ich freue mich zwar, das ich das Thema endlich abhaken kann, aber verstehen tue ich das nicht ganz, weil die Regeln werden doch solange von oben nach unten durchforstet, bis das eine zutrifft?

    Gruß, Andreas
  • 0
    Hallo Atctv,
    >> weil die Regeln werden doch solange von oben nach unten durchforstet, bis das eine zutrifft?

    das ist schon richtig, aber vielleicht hast du ja zwei NAT Regeln, bei denen es tatsaechlich auf die Reihenfolge ankommt, weil sonst die "falsche" matched?

    Das Geheimnis werden wir hier nur lösen können, wenn du uns deine NAT Regeln postest - und am besten zum einen die Regeln VOR dem Umsortieren (also als das Uplink alancing nicht richtig ging) und dann die Regeln wie Sie jetzt, mit der neuen Sortierung und dem funktionierenden Uplink Balancing aussehen.

    Vielleicht ist daraus ja ersichtlich,was schief gelaufen ist.

    Viee Grüße!
  • 0 in reply to FordPrefect
    *SchweißvonderStirnwisch*

    Konnten bei uns nach dem Update das gleiche Phänomen beobachten. Geclusterter Betrieb, der allerdings hinten und vorne nix richtig machte. Dazu eine sehr langsame Verbindung ins Netz. 
    Mal sehen, wann der Fix kommt...


    Forperfaect & DerIngo, euer Problem wird in v7.501 offiziell gefixt sein- vermutlich Ende nächster Woche späötestens in 2 Wochen.

    Bis dahin lautet der workaround:

    http://www.astaro.org/astaro-gateway-products/web-security-http-https-ftp-im-p2p-web-filtering-antivirus/28150-all-sites-being-blocked-one-user-after-upgrade-7-5-a-3.html#post124448
Unfiltered HTML