DMZ INternet über 2te SDSL-Leitung

Hallo,
vermutlich fehlt eine einfache Maskierungsregel, ggf. oberhalb der bestehenden Regel.
NAT/ Masquerading
Netz: DMZ-Network
Interface: Extern-2

Mit Multipath kenne ich micht nicht aus, habe aber vergleichbares schon mit Policy based Routing bei uns laufen.

Gruß Nathan

Hi Nathan,

vielen Dank. Werde ich testen. 
Könntest Du mir Dein Beispiel mit Policy based Routing einmal aufzeigen?

Gibt es es ein Vor/Nachteile "Policy based Routing" gegen "Multipath Rules"

Danke und und Gruss
Benny

Hallo Benny,
Ehrlich gesagt, verstehe ich nicht genau was Multipath macht. Von daher fällt mir schwer Vor- und Nachteile zu bestimmen. Das gab es vor ein paar Jahren noch nicht, als ich vor einem ähnlichen Scenario, wie du jetzt, stand.

Mit Richtlinien basierten Routing kann man Pakete von/für bestimmten IPs und Port in definierte Richtungen schicken.
Bei dir ist vermutlich External-1 als Standard Gateway eingerichtet.
Wills Du nun, dass Verkehr von deiner DMZ über External-2 abgewickelt sollte mit einer Gateway Richtlinienroute klappen
Quellschnittstelle: DMZ
Dienst: Any (oder entsprechend einschränken)
Zielnetzwerk: Any
Gateway: Router hinter External-2

NAT über External-2 für DMZ nicht vergessen!

Vermutlich kann es daraufhin sein, dass du von Internal erst mal nicht mehr auf Rechner in der DMZ kommst. DMZ sendet ja nun alles zu dem Router External-2. Hierzu musst Du dann eine weitere Richtlinie zurück von DMZ nach Internal vor der anderen einrichten, dann weiß die DMZ wieder, dass dein Internal nicht im Internet steckt. (Dies ist seit der 7.x Firmware so und hat mir den Upgrade von 6.x auf die 7.x versüsst)

Ich nutzte noch die 7.510 ggf. hat sich die Begrifflichkeit, etc. mit der 8.x geändert.

Viele Grüße
Nathan

multipath macht es möglich, mehrere default-gateways zu haben und dann selektiv den traffic mal über das eine und mal über das andere zu routen. das ist zwar auch mit policy-based routing möglich, aber selbst astaro empfiehlt, policy-based routing durch multipath zu ersetzen. zumindest uns wurde das nahegelegt, nachdem es verfügbar war. wir haben unzählige installationen, wo wir multipath erfolgreich nutzen.
zu beachten wäre:
- auf den interfaces, wo die isp's angeschlossen sind, das häkchen bei default-gateway setzen
- multipath einstellen, nicht failover
- masquerading auf "uplink interfaces" und nicht auf ein einzelnes

mit der multipath-regel
Source: ANY
Service: ANY
Destination:ANY
ltf Persistne by Interface
Bindinterface: ISP1
wird alles über ISP1 rausgeschickt, solange die leitung ISP1läuft. wenn die leitung down geht, wird automatisch umgeswitcht auf ISP2, usw.

es muss natürlich sichergestellt sein, dass alle anfragen, die über diese leitung rausgehen, auch darüber beantwortet werden können. wenn z.b. dns-abfragen über ISP1 an einen nameserver von ISP2 gehen, wird dieser wahrscheinlich nicht antworten. dann muss man dns-abfragen eben mit einer weiteren regel auf die andere leitung legen oder den ISP2 lieb fragen, ob er die abfragen zulässt.

multipath ist eine der besten implementierungen, die es in den letzten jahren gab, weil policy-based routing viel zu kompliziert ist und sehr oft probleme gemacht hat. wenn man multipath richtig konfiguriert, hat man viel freude damit.

hope this helps
-norman