SG und zweites Gateway im LAN -> wie Routing konfigurieren?

hi lod,

ich würde den zweiten Router vom lan trennen und ein transfernetz zwischen SG und 2tem Router bilden. Dann kannst du meinen Vorschlag 1zu1 umsetzten. In der jetzigen Konstellation bist du nur am basteln.

vg

mod

Hi mod,

erstmal danke für die Erklärungen. Ich habe die Netzwerkskizze mal angehängt und antworte auf Deine Fragen.

netplan.pdf

Hoffentlich ist das verständlicher. Hier die Antworten:

>Die SG als Standard Gateway bedeutet die interne IP als Standardgateway auf den Clients eintragen. Den zweiten Teil verstehe ich nicht in dem Zusammenhang.
Das ist auch kein Problem, Die SG ist das Default Gateway auf den Hosts im LAN. :-)
Wichtig ist: es sollen statische Routen an zentraler Stelle verwaltet werden. Das übernimmt die "SG -> Interfaces/Routing -> Static Routing", in der Skizze als Partner-Netze, die eigene Router im LAN haben.

>Das ist erst mal gar kein Problem. WAN 1 über Transfernetz auf anderen Router. Default Gateway = interne Router IP
Die SG verfügt über mehrere WAN-Leitungen, damit ist automatisch Uplink Balancing aktiv. Unter Transfernetz verstehe ich ein 1:1-NATting, richtig? Setzt das nicht voraus, das auf beiden Seiten (also SG und hinter 2.Router) das selbe Netz ist? Ansonsten habe ich alle Netze, die über "2.Router" erreichbar ist, als statische Route eingetragen.

>Wenn du zwei WAN Interfaces nutzt, erstellst du eine Multipath Regel mit Quelle = internes Netz, Protokoll = Http/Htps, Ziel = Internet-IPV4 und leitest das über das entsprechende WAN Interface.
Wenn ich also vom LAN -> Http/S -> Internet Datenverkehr habe, sage ich uner Multipath-Rules, dass dieses immer an die .2 weitergeleitet wird. Richtig?

>Der Proxy darf nicht auf das interne LAN horschen.
Ich denke, das ist der Knackpunkt: Kann ich dann noch auf einfachem Wege (Proxy-Eintrag im Browser) bestimmen, dass bestimmte Clients nicht über die .2 sondern über die SG (.8) gehen sollen/dürfen?

Nur als Beispiel: Der 2. Router als transparenter Proxy blockt Windows Update. Für Server soll dieser Block aber nicht gelten.
Da zusätzlich das WLAN gemanaged und gesichert werden soll, was der 2. Router nicht macht und bisher über eigenständige APs gelöst wurde, kam mir die Idee, die SG dafür anzuschaffen. Später möchte ich den Server extra abzusichern, indem ich sie -transparent durch die SG- vom LAN trenne.

Ich hoffe, das die Zielstellung und Problematik damit klar sind. Sonst versuche ich es gerne nochmal. Merke beim Schreiben auch, dass es nicht so "ganz rund" ist bzw. vom Standard-Szenario abweicht.

Danke und Gruß

LoD

Hi LoD,

ich bin mir nicht sicher ob ich richtig verstehe was du vorhast. Ich kommentiere einfach mal deinen Initial Post. Vieleicht kommen wir ja so weiter.

ich versuche gerade, eine SG-Teststellung so zu konfigurieren, dass sie grundsätzlich Anfragen an ein anderes Default Gateway weiterleitet. Im Router, der ersetzt werden soll, sind mehrere Routen eingetragen.

Die eingetragenen Routen kannst du ja so übernehmen.

Per Default soll ein anderer Router im LAN genutzt werden (z.B. für Web-Anfragen).

Das ist erst mal gar kein Problem. WAN 1 über Transfernetz auf anderen Router. Defdault Gateway = interne Router IP

Ich möchte quasi die SG als zentralen Router nutzen. Bisher habe ich das mit  "Standard static routes" und "policy routes" versucht, komme aber nicht zum gewünschten Ergebnis.

Die SG als Standard Gateway bedeutet die interne IP als Standardgateway auf den Clients eintragen. Den zweiten Teil verstehe ich nicht in dem Zusammenhang.

Dann habe ich testweise auf dem LAN-Interface als DefGW den anderen Router eingetragen, alle anderen Interfaces deaktiviert.

Bullshit ;) Damit deklarierst du das LAN Interface als externes Interface. Bitte Gateway löschen.

Der andere Router ist ein transparenter SSO-Proxy. Zumindest Webanfragen (http(s)) inkl. Userdaten sollten an diesen weitergeleitet werden.

Wenn du zwei WAN Interfaces nutzt, erstellst du eine Multipath Regel mit Quelle = internes Netz, Protokoll = Http/Htps, Ziel = Internet-IPV4 und leitest das über das entsprechende WAN Interface. Der Proxy darf nicht auf das interne LAN horschen.

Das lokale WLAN soll über die Web Protection der SG laufen.

Ist auch kein Problem. Du erstellst ein transparentes Proxy Profil für den IP Range des lokalen WLANs. Falls dein WLAN im gleichen Netz ist wie das normale LAN musst du das irgendwie trennen. Falls du Sopphos APs verwendest kannst du hier ein WLAN in einer seperaten Zone konfigurieren.

----------------------------

Du kannst mehrere Multipath Regeln erstellen die von oben nach unten abgearbeitet werden. Den Port 8080 alleine in eine Multipath Regel aufzunemen macht nur Sinn wenn dahinter ein Upstream Proxy läuft oder Webserver auf Portr 8080 angesprochen werden. Der Proxy initiiert auch 80/443 Verbindungen.

Wenn du das trennen möchtest legst du zwei Multipath Regeln an. Die erste wie vorher beschrieben damit die normalen Webanfragen auf den Router gehen und die zweite mit Quelle = WLAN Netz (Inklusive WLAN Gateway Adresse), Protokoll = vordefiniertes Web Surfing Objekt, Ziel = Internet IPV4 und WAN 2 als Interfacezuordnung.

Die erste Regel zieht dann nur bei Anfragen die aus dem lokalen LAN kommen. Die zweite Regel zieht für alle Anfragen die aus dem WLAN kommen. Wenn der Proxy die Verbindung aufbaut wird die IP des WLAN Inerfaces verwendet. Deswegen zieht diese Regel dann auch über einen transparenten Proxy.

€dit - Bin mir hier nicht sicher. Muss ich selber noch mal verifizieren.

€dit 2: Habe ich verifiziert, funktioniert genauso wie beschrieben :)

Du kannst danach weitere Multipath Regeln erstellen die auf alle Bedürfnisse angepasst werden. Außerdem kannst du definieren das Regeln übersprungen werden bei einem Interface Error. Das bedeutet du hast dadurch auch noch Ausfallsicherheit.

Wenn du keine Multipathregel erstellt wird der gesamte Traffic über beide WAN Leitungen geloadbalanced. Entsprechend der Gewichtung die du konfiguriert hast.

Falls ich deine Anforderungen falsch verstanden habe, zeichne das ganze doch mal auf und häng das Bild dann hier an.

vg

mod

Hi mod2402,

erstmal Danke für die Antwort! Was meinst Du mit "WAN" Nics? Ich habe aktuell 1x ADSL, 1x CoCo als WAN Leitungen (beide demzufolge auch mit Gateway) und 3 LANs (GastLAN,DMZ,LAN) und das LAN-Interface hat als Besonderheit auch ein Gateway eingetragen.

Wenn ich dann Multipath-Regeln erstelle, kann ich zwar bestimmte Protokolle über eine festgelegte Leitung schicken, aber -zumindest in meinem Testaufbau- nicht wahlweise Proxy 8080 über ADSL und 80/443 über LAN?! Das LAN-Interface darf nicht maskiert oder geNATtet werden, damit der transparente Proxy funktioniert. Und auch nicht im Web Filter eingetragen sein, da sonst dieser sich alle 80/443 Pakete "wegschnappt". Dazu habe ich das vordefinierte Proto-Gruppenobjekt durch eines ohne 8080 ersetzt.

Die Probleme: Das LAN-Interface ist im Linkstatus"error", da es -es hat ja ein Default GW- versucht, irgendwas im WAN zu erreichen. Also hatte ich das automatische Uplink Monitoring deaktiviert und für das LAN einen Host im LAN angegeben. -> Error ist weg, aber: Proxy Ausnahme greift nicht.

Ich werde es am Wochenende nochmal über simples Uplink Balancing probieren....Wenn Du (oder jemand anders) noch weitere Tipps hat, bin ich dankbar!

Gruß

LoD

hi lod,

die Lösung ist ganz einfach. Zwei Wan Nics mit dem entsprechenden Gateway konfigurieren. uplink balancing wird ein geschaltet stört aber nicht. den Traffic reglementiert  du dann mit multipath Rules. webtraffic (vordefiniertes Protokoll gruppenobjekt) über die eine wan nic und was du auch immer willst über die andere. oder auch kreuz und quer. Ist alles ganz simpel mit multipath Rules umzusetzen. hab ich schon mehrfach so gemacht. funktioniert auch mit 4,5 oder 6 wan nics.

vg

mod

So. Eine funktionierende Lösung habe ich nun, indem ich den Link vom LAN-Interface (mit dem 2. Gateway) absichtlich "in error" setze.

Schön ist das aber nicht, eben weil es fehlerhaft angezeigt wird. Bisher NOCH (!) ohne Konsequenzen, sofern hier ein Crack mitliest, der eine bessere Lösung / Idee hat, immer her damit. Ich markiere das hier auch nicht als Lösung.

Gruß

Eine Idee, die allerdings noch hakt, ist:

Multipath Rule für ProxyPort 8080 an die WAN-Interface Gruppe leiten && NoNat-Rule für alle Ports außer 8080 an das 2. Gateway. Im WebFilter nur das LAN, nicht aber die SG selbst eintragen.

Eigentlich sollten dann doch alle Ports ohne NAT an das 2. GW geleitet werden. Port 8080 wird von der SG "abgefangen" und vom Web Protection verarbeitet? Vielleicht kann mir hier jemand weiterhelfen und Infos geben, ob das überhaupt machbar ist.

Danke vorab und Gruß

Hallo,

wieder bin ich einen kleinen Schritt weiter: Am Parent Proxy ist nun auch die IP der SG eingetragen, somit funktioniert die Authentifizierung der User am Parentproxy durch die SG.

Was leider nicht funktioniert: Anfragen von der SG direkt "nach draußen" schicken. Im Log tauchen die Anfragen zwar auf, allerdings werden auch diese Anfragen vom Parent Proxy beantwortet.

Mein Ansatz war nun, die SG als Socks Proxy zu nutzen:

Extra Web Filter Profile für bestimmte User/PC-Gruppe angelegt, für diese Gruppe auch Proxy mit Standard-Authentifizierung aktiviert.

Regebnis: Anfrage kommt auf SocksProxy Port-> SG leitet von seiner internen IP zum anderen GW weiter. Ich hatte vermutet, dass das Web Filter Profile vorher greift und die SG die Antworten direkt ins Web schickt, wie das für andere LANs, die direkt im Web Filter eingetragen und Masquerading aktiv haben, auch ist.

Bekommt man das irgendwie hin?

Kannst Du den Parentproxy nicht entsprechend konfigurieren, dass er die UTM zulässt? 

Bridge wäre auch eine Option, dann geht der Proxy aber auch nur transparent. 

Hallo,

bin bei dem Problem noch nicht zu einem befriedigendem Ergebnis gekommen.

Wenn der Proxy auf einem Client aktiviert ist (Web Protection extra Profile) und Multipath Rule für die Client-Gruppe fest auf ein ext. Interface, klappt das. Dann klappt allerdings der Zugriff über den transparenten proxy (0.2) nicht mehr.

Komme ich vielleicht irgendwie über eine Bridge weiter? Denke daran, weil der 0.2 meckert, dass die IP vom SG unbekannt ist.

Gruß