Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1278 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

LAN2 nutz nicht DSL2 trotz NAT

ASG220
Guten Morgen zusammen,

ich glaube ich bin mal wieder verpeilt. Ich habe an einer ASG220 folgende Konstellation:

LAN1 (an eth0) --> NAT --> DSL1 (Standardgateway, PPPoE)
LAN2 (an eth1) --> NAT --> DSL2 (PPPoE)

Die LANs haben nichts miteinander zu tun; trozdem Benutzen die Computer im LAN2 für den Internetzugriff trotzdem DSL1.

Hat jemand eine Idee dazu?


This thread was automatically locked due to age.
Parents
  • 0
    Hallo.

    Wenn das ASG nur ein Default-Gateway gesetzt hat, wird natürlich ausgehend auch nur dieses Interface benutzt. Für solche Szenarios bietet sich das 'Uplink Balancing' feature an. Einmal aktiviert, kannst Du dann mit 'Multipath'-Regeln dafür sorgen, dass bestimmter Traffic über ein bestimmtes Interface laufen soll (Multipath persistence: 'By Interface'). Für das SNAT/Masquerading benutzt Du dann einfach das 'Uplink Interfaces' Interface.

    Wie BAlfson jedoch richtig angesprochen hat, funktioniert dies nicht mit Traffic, der durch den Proxy initiiert wird, weil dieser Traffic direkt am ASG entsteht und dadurch nicht mehr dem Quellnetz zugeordnet werden kann.
  • 0 in reply to trollvottel
    HTTP/S  Proxy oder ???


    Ja. Transparenter Modus und die jeweiligen Networks 'zugelassen'.

    Hallo.

    Wenn das ASG nur ein Default-Gateway gesetzt hat, wird natürlich ausgehend auch nur dieses Interface benutzt. Für solche Szenarios bietet sich das 'Uplink Balancing' feature an. Einmal aktiviert, kannst Du dann mit 'Multipath'-Regeln dafür sorgen, dass bestimmter Traffic über ein bestimmtes Interface laufen soll (Multipath persistence: 'By Interface'). Für das SNAT/Masquerading benutzt Du dann einfach das 'Uplink Interfaces' Interface.

    Wie BAlfson jedoch richtig angesprochen hat, funktioniert dies nicht mit Traffic, der durch den Proxy initiiert wird, weil dieser Traffic direkt am ASG entsteht und dadurch nicht mehr dem Quellnetz zugeordnet werden kann.


    Es ist in der Tat nur ein Default-Gateway gesetzt (auf "DSL1"). Ich dachte die NAT-Maskierungen würden ausreichen. Dann schaue ich mir erstmal mal das Uplink-Balancing an. Ich lese gerade was zu 'policy based routing' gefunden, geht das nicht in die gleiche Richtung? siehe https://support.astaro.com/support/index.php/Policy_Route_Proxied_Traffic_to_a_Second_WAN_Connection

    Danke und Gruß,
    Lars
Reply
  • 0 in reply to trollvottel
    HTTP/S  Proxy oder ???


    Ja. Transparenter Modus und die jeweiligen Networks 'zugelassen'.

    Hallo.

    Wenn das ASG nur ein Default-Gateway gesetzt hat, wird natürlich ausgehend auch nur dieses Interface benutzt. Für solche Szenarios bietet sich das 'Uplink Balancing' feature an. Einmal aktiviert, kannst Du dann mit 'Multipath'-Regeln dafür sorgen, dass bestimmter Traffic über ein bestimmtes Interface laufen soll (Multipath persistence: 'By Interface'). Für das SNAT/Masquerading benutzt Du dann einfach das 'Uplink Interfaces' Interface.

    Wie BAlfson jedoch richtig angesprochen hat, funktioniert dies nicht mit Traffic, der durch den Proxy initiiert wird, weil dieser Traffic direkt am ASG entsteht und dadurch nicht mehr dem Quellnetz zugeordnet werden kann.


    Es ist in der Tat nur ein Default-Gateway gesetzt (auf "DSL1"). Ich dachte die NAT-Maskierungen würden ausreichen. Dann schaue ich mir erstmal mal das Uplink-Balancing an. Ich lese gerade was zu 'policy based routing' gefunden, geht das nicht in die gleiche Richtung? siehe https://support.astaro.com/support/index.php/Policy_Route_Proxied_Traffic_to_a_Second_WAN_Connection

    Danke und Gruß,
    Lars
Children
  • 0 in reply to ASG220
    Wenn der Traffic wie Du sagst 'proxied' wird, hast Du soviel ich weiß keine Chance (Ausnahme: Full-transparent Proxy) mehr nach Quellnetzwerk zu routen, denn die neue Quelle ist dann ja das ASG selbst. Da kannst Du dann nur noch mit generischen Multipath-Regeln den Traffic auf die Uplink-Interfaces aufteilen.

    Und ja, mit Policy Routing Routing kann man teils ähnliche Dinge tun wie mit Multipath-Regeln. Allerdings sind letztere IMHO einfacher zu handhaben.
  • 0 in reply to trollvottel
    Wenn der Traffic wie Du sagst 'proxied' wird, hast Du soviel ich weiß keine Chance (Ausnahme: Full-transparent Proxy) mehr nach Quellnetzwerk zu routen, denn die neue Quelle ist dann ja das ASG selbst. Da kannst Du dann nur noch mit generischen Multipath-Regeln den Traffic auf die Uplink-Interfaces aufteilen.

    Und ja, mit Policy Routing Routing kann man teils ähnliche Dinge tun wie mit Multipath-Regeln. Allerdings sind letztere IMHO einfacher zu handhaben.


    Ok, ich habe es jetzt über Uplink-Ausgleich mit Multipath-Regeln gemacht und es funktioniert auch soweit! [:)]

    Noch eine Frage zur Firewall-Hierachie: kann ich bei den Multipfadregeln einfach alle Dienste der lokalen Netze über eine bestimmte Schnittstelle lenken, und dann die Dienste-Einschränkungen über den Paketfilter machen? Oder umgekehrt? Es soll z.B. jeweils nur Websurfing und eMail erlaubt sein. Die Regeln pro Dienst jeweils beim Mutlipath und Packet Filter zu machen ist ja nicht nötig, oder?

    MfG, Lars