This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SD-WAN-Richtlinienrouten

TimFranken over 4 years ago

Hallo zusammen,

kommen wir hier im neuen Forum auch direkt mal zum beliebten Thema der neuen SD-WAN-Richtlinienrouten.

Ich habe da noch so meine kleinen Probleme und kann das in meiner Sprache hier wohl besser erfragen

Also generell funktioniert es im großen und ganzen nur die Sache mit dem Zielnetzwerk verstehe ich noch nicht so ganz.

Zielnetzwerk Beliebig sorgt ja dafür, das jeglicher Traffic auch der Interne über dieses Routing geführt wird.

Die Routingreihenfolge habe ich wie folgt gesetzt: Statische Route, SD-WAN-Richtlinienroute, VPN-Route.

In dieser Reihenfolge funktionieren aber leider die VPNs nicht mehr, weil er natürlich auch diese versucht über WAN erst nach außen zu routen.

Setze ich jetzt aber VPN-Route vor SD-WAN funktionieren zwar die Verbindungen über VPN, aber RDPs trennen sich alle paar Minuten.

Habe es dann mit dem Trick der "All Countries" Gruppe gemacht aber das kann ja nicht im Sinne des Erfinders sein.

Mit fehlt einfach die Zielnetzwerk Option "Internet". Wie macht ihr das so?

Ich arbeite bei uns mit sehr vielen Zonen und Netzwerken (LAN, DMZ, VOIP, MGMT, MEDIA, PRINT, DVR) jedes VLAN hat halt seine eigene Zone und diese Zonen möchte ich auf mehrere WANs verteilen. Ich verwalte die VLANs auch nicht in der Sophos, sondern nur über untagged Ports am Switch.

This thread was automatically locked due to age.

0 LuCar Toni over 4 years ago

Es sollte eigentlich nicht so sein, dass die Verbindungen alle paar Minuten getrennt werden.

Hast du in der Console diesen Punkt? set vpn conn-remove-tunnel-up disable

Das könnte dein Problem mit den RDP Verbindungen lösen.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 TimFranken over 4 years ago in reply to LuCar Toni

Nein diese Option kannte ich noch nicht, werde ich Morgen direkt mal testen, vielen Dank.

Diese Option dann in Verbindung mit der Reihenfolge?

Statische Route, VPN-Route, SD-WAN-Richtlinienroute.

Aber generell die Frage zum Zielnetzwerk bleibt ja trotzdem? Wie ist da der Standard bzw. was ist da die beste Methode?
Cancel
Vote Up 0 Vote Down

Cancel
0 SimA over 4 years ago

Um genau solchen Problemen vorzubeugen, erstelle ich mir bei jeder Sophos mittlerweile die Objektgruppe "Internet" über folgenden KB-Artikel.

Sophos XG Firewall: How to auto create an object for IPv4 Internet addresses group on Azure

Gruß Simon
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 4 years ago in reply to TimFranken

Ein Internetv4 Objekt zu erstellen, würde in der Firewall nicht funktionieren, da es an Zonen gebunden ist, nicht an Interfaces und SD-WAN PBR sind zur Zeit primär gebaut worden, um ohne Zone arbeiten zu können (interner Traffic etc.). Daher ist das Nutzen von einem ANY Objekt gefährlich. Die Reise von SD-WAN geht in die Richtung Load Balancing von asymmetrischen Traffic etc.

Du hast mehrere Leitungen zum Ziel und möchtest das Paket einfach dort hin schicken, egal über welche Leitung. Der Trick dabei ist: Du gehst von Connection pinning weg und mehr zu dem Load balancing pro Paket.

Das neue Feature über Central (SD-WAN Orchestration) nutzt auch PBR aber ohne ANY.

In Zukunft soll es auch eine Auskopplung geben, um eben WAN von internen Traffic trennen zu können.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 TimFranken over 4 years ago in reply to SimA

Cool, das sieht ja schonmal sehr gut aus. Werde das auch mal ausprobieren. Vielen Dank
Cancel
Vote Up 0 Vote Down

Cancel