Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 2 replies
  • Answers 1 answer
  • Subscribers 10 subscribers
  • Views 1420 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SD-WAN-Routing funktioniert nicht mit Provider-BGP-Leitung und zusätzlichem DSL

OliverKoch1

Hallo miteinander,

ich habe ein Routing-Problem seit der Umstellung von Sophos UTM auf XGS.

Wir haben 2x BGP-Internetleitungen vom Provider und einen zusätzlichen DSL-Anschluss. Solange ich in der Routing-Preference nicht SD-WAN-Routing an erster Stelle betreibe, funktioniert BGP-Routing über die Provider-Internetleitungen, aber die SD-WAN-Regeln werden nicht angewandt, d.h. ich kann die DSL-Leitung nicht nutzen, es wird immer über bgp-Leitungen des Providers geroutet.

Stelle ich in der Routing Preference SD-WAN-Routing an erste Stelle, funktionieren die SW-WAN-Regeln, d.h. es wird auch über die DSL-Leitung geroutet, aber ich bin von außen nicht mehr über meine statischen IP-Adressen der bgp-Leitungen erreichbar.

Kann mir jemand weiterhelfen, damit ich bgp-Leitungen gehend und kommend mit SD-WAN-Routing betreiben kann?



This thread was automatically locked due to age.
  • 0

    Schau mal hier: https://www.youtube.com/watch?v=gtB9aUH_M64

    Effektiv überschriebt SD-WAN alles, was Statisch gesetzt sein kann. 

    Du musst halt nur aufpassen, dass deine BGP Route nicht "beinhaltet ist von der SD-WAN Route". 

    __________________________________________________________________________________________________________________

  • 0

    Hallo Oliver, ich schreibe jetzt einfach mal, vielleicht löst es sich dann auf für dich. Erstmal ein Bild wie ich meine Routingreihenfolge gelegt habe.

    In den SD-WAN Routen gibt du der Schnittstelle/Netz/Dienste nur eine Richtung vor (An welcher Kreuzung muss ich abbiegen). 

    WAN1 = Telekom
    WAN2 = Netcologne

    Im SD-WAN Routing gibt du an dass das Netz 192.168.100.X die Telekom Leitung Benutzer soll. Natürlich könntest du auch ein Netz angeben unter Schnittstelle und unter Quelle/Netzwerke oder nur einen Mailserver, TK-Anlage etc. so könntest du einem einzelnen Gerät sagen welche Leitung es benutzen soll.  

    Ab hier gibt es mehrere Möglichkeiten

    Entweder hast du in deiner SNAT Regel "Eingehende Schnittstelle" Beliebig eingetragen und in der Ausgehenden Schnittstelle sind beide Internetanschlüsse hinterlegt
    (Haben die beiden Leitungen keine Feste IP-Adresse kann man das durch aus so lösen)

    Oder du legst eine SNAT Regel an, Eingehende Schnittstelle Netz 192.168.100.X, Ausgehende Schnittstelle Telekom, dann wird das Netz 192.168.100.X ausgehend auch diese Leitung verwenden (Denk bitte noch an die Firewallregel, Quelle = 192.168.100.X Ziele = WAN).

    Hat der Anschluss mehr als eine Feste IP Adresse muss die auch in der SNAT Regel eingetragen werden. Sonst reicht auch hier MASQ aus.

    Mein Anschluss hat 5 feste IP-Adressen, daher muss ich diese externen IPs unter Host und Dienste anlegen und an Stelle von MASQ auswählen, im Umkehrschluss brauche ich 5 SNAT Regel, 5 SD-WAN Regeln, 5 Firewall Regeln und 5 DNAT Regeln, wenn ich möchte dass 5 verschiedene Server, 5 verschiedene IPs und Dienste aus ein und ausgehend verwenden.

    Willst du ein Server/Dienst von Außen erreichen, musst du eine entsprechende DNAT Regel + Firewall Regel anlegen. in beiden Regeln müssen die Ports eingetragen werden z.B. #Port9 #Port10.

    Ich hoffe es hilft die irgendwie weiter

    Beste Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Unfiltered HTML