Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 4036 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Änderung Routing! Wie anstellen?

User12345_01
Hallo NG,

Ich habe eine UTM 9 mit folgender Konfiguration:

ETH0: Netz 192.168.0.0/24
ETH1: Netz 192.168.1.0/24
ETH2: Netz 192.168.2.0/24
ETH3: Netz 192.168.3.0/24
ETH4: Netz 192.168.4.0/24
ETH5: Öffentliches Netz (angenommen) 194.16.4.0/28 Gateway 194.16.4.1 
Alle Adressen sind als Zusätzliche Adresse mit /32 Maske konfiguriert. ETH2,3,4 sollen über ETH5 ins Internet und nur dahin. In unserem Internen LAN, ETH0 und ETH1, haben einige Adressen eine NAT-Regel auf eine bestimmte Öffentliche Adresse. 
ETH5 hat auch das Standard Gateway.

Jetzt muss ich aber das Standard Gateway dem Interface ETH0 geben (sonst kommen die internen PC´s nicht zu unserer Filiale). ETH0 hängt hinter einer anderen FireWall mit unserem neuen Internet-Zugang und einem weiteren routing zu einer Filiale.
ETH5 mit seinen Öffentlichen IP´s brauche ich aber trotzdem.

Wie stelle ich jetzt das routing um? Ich meine nicht haken rausnehmen und in einem anderem Interface setzen. Hab ich schon probiert. Dann funktionieren meine NAT-Regeln nicht mehr.

Wie könnte ich vorgehen?
Dem Interface ETH sein Standard Gateway geben (192.168.0.254), und wie mache ich das dann mit den NAT-Regeln? Die Netze ETH2-4 kommen nicht mehr ins Internet.

Wo liegt mein Fehler? Oder wie könnte ich das lösen?

Danke


This thread was automatically locked due to age.
  • 0
    Warum musst du dem Eth0 ein Standardgateway geben? 
    Ich denke das hier dein Denkfehler liegt.

    Soweit ich verstanden habe läuft alles wenn eth5 das Gateway hat, oder?

    Wie ist die Topologie hinter eth0? 
    Welches Gerät hat die 192.168.0.254?

    Wenn ich raten müsst würde ich sagen dir fehlt lediglich ne Kleinigkeit beim Routing nach 0.254, oder?
  • 0
    Für mich stellen sich hier einige Fragen.
    Warum zusätzliche Adresse mit /32?
    Wie schaut das mit der nat regel auf eth0 und eth1 aus?

    standard gateway bedeutet ja auf gut deutsch:
    eintrag in der routing tabelle wenn sonst gar nichts passt
    von dem her macht es keinen sinn 2 davon zu haben (außer redundanz)

    ich denke, dass uns ein kleines netzwerk diagramm helfen würde, die richtige lösung zu finden.

    lg, chris
  • 0
    Das die zusätzlichen WAN IP´s /32 haben ist schon in Ordnung.
    Es werden ja alle zusätzlichen IP´s einzeln angelegt - demzufolge eben /32.

    Jetzt habe ich den ersten Beitrag nochmals gelesen - langsam denke ich versteh ich was du willst :-)

    Hinter eth5 hängt Dein bisheriger Internetzugang? 
    ETH2,3,4 sollen über ETH5 ins Internet ABER nicht via eth0 über den NEUEN??? Internetanschluss in´s Internet und auch nicht in die Filiale welche (vermutlich) via IPsec an den anderen Router angebunden ist. RICHTIG? 

    Wie sollen dann ETH1 und ETH2 in das Internet gehen?
         NUR via eth0, NUR via eth5 oder beide (Active/Passiv oder Lastverteilt?

    Lg,
    Gerald
  • 0
    Hallo Gerald,

    genau. Hinter ETH5 war mein vorheriger Internet-Zugang (10 Mbit), der aber weiter für ETH2-4 benutzt werden soll. Auch einige Adressen in ETH0 werden so ins Internet gebracht (OWA, Citix, usw). Auch gibt es eine IPSEC-Verbindung zu einem Dienstleister über die UTM.

    Die Filiale hängt an einer Standleitung und kommt von der FireWall des Providers. Diese Firewall hat die Adresse 192.168.0.254. Da jetzt die Filiale sich nicht nur im Netz 192.168.0.0/24 bewegen soll sondern auch auf einen Server des Dienstleisters muss (der an der UTM per IPSEC hängt und alle Geräte innerhalb des Netzes 192.168.0.0/24 als GW die 192.168.0.254 haben), mir die Rückroute fehlt. Oder?

    Als route habe ich beim Provider einstellen lassen dass das IPSEC-Netz hinter der UTM liegt. Aber die Pakete die dann vom Dienstleister kommen gehen dann ins leere weil die route nicht mehr stimmt (da die UTM das GW 192.168.0.254 nicht kennt und denkt sie wäre selbst Gateway).

    ETH0 und ETH1 sollen nur über über die Neue Leitung (100 Mbit) ins Internet gehen.

    Ich mach gerade mal einen Übersichtsplan.

    Lg,
    Manfred
  • 0 in reply to User12345_01
    Netzplan
    So sollte es aussehen.

    Lg,
    Manfred
  • 0
    Hast du dir den Bereich Uplink Balancing unte Multipath Rules bei den Interfaces schon angeschaut?
    Wenn nein, wäre das wohl der passende Ansatz. Also bei eth0 und eth5 den Haken bei Default Gateway. Es wird dann automatisch das Uplink Balancing aktivert.
    Bei den Multipath-Regeln stellst du dann ein, welche Clients über welches Interface ins Internet raus sollen.

    Dann muss natürlich noch eine Rückroute auf dem Provider-Router (192.168.0.254) rein: Netz 10.0.1.0 über die 192.168.0.250. Und passende Firewall-Regeln auf der UTM.

    Ich hoffe, ich habe alles verstanden und bedacht...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Hast du dir den Bereich Uplink Balancing unte Multipath Rules bei den Interfaces schon angeschaut?


    Hallo,

    ja das mit den Multipath-Regeln habe ich mir angeschaut aber so mit Interface 1 verwendet Interface 2 habe ich da nicht gefunden.

    Ich kann da mein Quellnetz angeben z. B. ETH2, dann bei Dienst Any und bei Ziel? Ist da das Ziel ETH5 oder Internet?
    Schnittstellenbindung: nach Schnittstelle oder nach Ziel?

    Das verwirrt eigentlich mehr als es hilft. Oder ich habe noch nicht verstanden [:S]

    Lg,
    Manfred
  • 0
    In Multipath Rules kannst du nur Interfaces verwenden, die den Haken bei Default Gateway haben.

    Sobald du bei mehr als einer Schnittstelle diesen Haken setzt, bekommst du die Meldung, dass Uplink Balancing aktiviert wird und du musst nochmals auf "Apply" klicken.
    Du siehst dann beide Interfaces unter Uplink Balancing als "Active Interfaces".

    Da du ja bestimmte Clients über eine bestimmte Schnittstelle raus haben möchtest erstellst du Multipath Regeln nach folgendem Muster:
    Source: eth2 (Network)
    Service: Any
    Destination: Internet
    Itf. Persistence: by Interface
    Bind interface: eth5

    Ein Blick in die Online-Hilfe könnte übrigens für's Verständnis auch helfen... [;)]

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking

    Ein Blick in die Online-Hilfe könnte übrigens für's Verständnis auch helfen... [;)]


    Hallo,

    hab ich hier neben mir liegen. Habe es dann, denke ich, auch begriffen.

    Bis zu diesem Punkt. [:S]
    In Multipath Rules kannst du nur Interfaces verwenden, die den Haken bei Default Gateway haben.


    Muss ich jetzt bei jedem Netz auch das jeweilige GateWay angeben?
    Also den Hacken bei Standard-GW setzen?

    Lg,
    Manfred
  • 0
    Nein, bloß nicht! [:)]

    Es bekommen nur die Interfaces den Haken bei "Default Gateway", die (von der UTM aus gesehen) eine Verbindung ins Internet haben. Also bei dir eth0 und eth5, wenn ich das richtig verstanden habe.

    Mit meiner Aussage meinte ich, dass du nur diese Interfaces bei "Bind Interface" auswählen kannst. Sorry, hab mich da ungenau ausgedrückt.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cookie Information Banner