Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 8537 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mehrere öffentliche IP Adress-Räume und 2 ISPs - Uplink Ausgleich

patrick.hackert@preventgr

Hallo,


Wir haben da ein kleines aber nerviges Problem.

Derzeit haben wir übergangsweise 2 ISPs für unseren Internetzugang. Jetzt wollten wir neue Services auf dem neuen Adressraum anbieten. Dazu ist es offenbar jedoch notwendig, dass wir den Uplink Ausgleich einrichten. Wir haben insgesamt 3 verschiedene IP-Adressräume 2 vom alten ISP und einen größeren vom neuen. Bisher (mit den beiden alten Adressräumen) konnten wir alles über die reguläre External (WAN) Schnittstelle abwickeln lassen. (Diese ist mit einem Switch verbunden der Zugang zu beiden ISP Routern hat) Nun dachten wir, dass die neue Leitung auch einfach darüber laufen kann. Leider jedoch klappt das wohl nur, wenn wir eine Schnittstelle mit dem Standard GW von dem neuen ISP - Router versehen.

Das aktiviert dann direkt den Uplink Ausgleich.

Hier jedoch entsteht dann ein riesiges Problem. Unsere Mailserver werden willkürlich auf eine der drei Schnittstellen (Wir haben für jeden Adressbereich eine eigene definiert) verteilt. Was zur Folge hat, dass der E-Mail Dienst mal funktioniert und mal nicht.

Auch ein Web-Portal, welches bei uns gehostet wird, ist dann nur noch sporadisch erreichbar.

Damit können wir nicht wirklich leben.

Ich habe schon gelesen, dass man hier Mulitpath Regeln erstellen soll.

Bedeutet das jetzt aber, dass ich für JEDEN Dienst, den wir haben einen MP-Regel erstellen muss, damit die entsprechenden Daten auch garantiert über die jeweilige Schnittstelle hinausgeroutet werden?

Falls ja, wüsste ich gern, wie ich das anstellen muss. Denn durch die Beschreibung steige ich nicht so ganz durch.



This thread was automatically locked due to age.
Parents
  • 0

    Ja. Wenn Du auf der UTM keine globale Einstellung Konfiguration haben möchtest, oder externe Bedingungen es erfordern, musst Du Dich auch mit jedem Dienst befassen. Es gäbe übrigens auch noch die Policy Route.

    Durch Deine Fehlerbildbeschreibung oben bin ich aber zur Überzeugung gelangt, dass ich uns beiden jeden überflüssigen Aufwand erspare, in dem ich Dir versuche, Netzwerkgrundlagen zu vermitteln und das Handbuch umformuliert und hoffe, dass Du das verstehen würdest.

    Konkrete Frage, konkrete Antwort, ja.

    So kann ich Dir nur raten, suche Dir einen Dienstleister für die Sophos UTM, der das ganze in zwei Stunden mit Dir durchgeht, konfiguriert und erklärt - das ist zielführend und pragmatisch.

  • 0 in reply to K.N.

    ok, Grundlagen fehlen nicht.

    Nur ist mir die Funktionsweise der UTM teilweise einfach nur ein Rätsel und kommt mir von Zeit zu Zeit einfach unlogisch vor.

    Ich stelle mir das ganze wohl zu einfach vor.

    Dann sollte ich mich wohl mal an die Arbeit machen, jeden Service auf eine Karte zu binden und hoffen, dass es so läuft, wie ich mir das vorstelle.
    Wobei ich dabei aber auch nicht verstehe, warum die UTM - Logik nicht dazu in der Lage ist zu erkennen, dass ein Service der, meinetwegen mit der 1.1.1.24 angesprochen wird, auch über die Karte rauszugehen hat, dieses Subnetz hält. und nich über eine Andere Karte versucht rauszugehen.

    Dann scheint es noch offensichtlich zu sein, dass dieser Ausgleich eine Eingangspriorisierung hat.  Denn selbst wenn der ausgehende Traffic der einzelnen Clients sich über die 3 Karten verteilt, sollte doch eine Anfrage von Aussen immer den selben Weg gehen. (Allein schon, weil die IP-Adressen entsprechend zugewiesen sind in den web protection Einstellungen. DAS sind Dinge, die ich nicht verstehe.

    [EDIT]

    Ein Beispiel:

    ISP1.Subnet1.1 liegt auf ETH1

    ISP1.Subnet1.2 liegt auf ETH6

    ISP2.Subnet2.1 liegt auf ETH8

    Nun haben wir einen Mail-Server, und 4 Webserver

    Der Mail-Server und einer der Webserver liegen in Subnet1.1 mit ihren externen IP-Adressen und DNS-A Einträgen.

    Zwei weitere Webserver liegen mit ihren DNS Namen im Subnet1.2.

    Ein Webserver liegt mit seinem Namen im Subnet2.1

    Nun hat sich jedoch herausgestellt, dass der Uplink-Ausgleich die wege nach Aussen willkürlich, bzw. nach Schnittstellen Auslastung aufteilt.
    Bedeutet, dass Webserver1 z.B. nicht immer über ETH1 raus geht, wie er es eigentlich sollte bei externen Anfragen, sondern auch mal über ETH6 oder ETH8 antwortet. Das wird vom Anfragenden natürlich gedropt, weil die antwort-IP nicht zuzuordnen ist.

    Genau so verhält es sich auch mit dem Mail-Server. Da die eingetragene IP Adresse für den MX Eintrag auf ETH1 zeigt in unserem Beispiel, er aber trotzdem dann über ETH8 oder 6 rausgeroutet wird sind Ablehnungen anderer Mail-Server vorprogrammiert.


    Und DAS ist eines der Verhalten, welches ich nicht verstehen kann/will. Da fehlt mir die Logik. Oder fehlt sie hier an dieser Stelle eher der UTM?

    [/edit]

  • 0 in reply to patrick.hackert@preventgr

    Ich vermute hier eher ein Thema beim Routing und NAT. Uplinkbalancing ist eben Lastenausgleich und Multipath ist eben Mehrfachwege.

    Die Dienste Web und Mail laufen nicht lokal auf der UTM? Wie istdort das D/S-NAT konfiguriert?

    Welcher historischer Grund hat die drei Subnetze auf unterschiedliche phys. Interface gelegt?

Reply
  • 0 in reply to patrick.hackert@preventgr

    Ich vermute hier eher ein Thema beim Routing und NAT. Uplinkbalancing ist eben Lastenausgleich und Multipath ist eben Mehrfachwege.

    Die Dienste Web und Mail laufen nicht lokal auf der UTM? Wie istdort das D/S-NAT konfiguriert?

    Welcher historischer Grund hat die drei Subnetze auf unterschiedliche phys. Interface gelegt?

Children
  • 0 in reply to K.N.

    Jeder ISP hat seinen eigenen Router bei uns stehen. Lediglich die externen Subnetze 1.1 und 1.2 laufen über den gleichen Router.

    Die Web/Mail Server laufen natürlich mit privaten IP-Adressen im internen Netzwerk und werden mit DNAT und Webserver Protection an die jeweiligen lokalen Systeme verteilt.

    Die externen Subnetze sind deshalb auf mehrere Karten aufgeteilt, damit die Karten, besonders ETH1 nicht überlaufen werden.

    Da hier auch eine nicht unbeträchtliche Anzahl an S2S VPNs anliegen hat die Karte so schon ordentlich Betrieb. Also wollten wir unsere 12 Karten, die wir haben auch entsprechend nutzen. um einen lokalen Lastenausgleich zu fahren.
    In meinen Augen hat das aber auch nichts mit der hier zu Grunde liegenden Problematik zu tun.

    Ich möchte nur wissen, warum die UTM die Pakete nicht dahin zurückroutet, wo sie herkommen. Dass initial ausgehender Traffic aus dem internen Netz mit Multipath Regeln auf eine Karte festgenagelt werden muss, sehe ich ja irgendwo ein. Aber warum sind unsere Webserver von Aussen nur noch sporadisch erreichbar? DAS macht keinen Sinn!

  • 0 in reply to patrick.hackert@preventgr

    Ich wiederhole mich gern: Das ist ein Komfigurations- und Verständnisthema. Nimm Uplinkbalancing als das, was es ist und erwarte nicht, das eine Funktion mit globaler Konfiguration dienstspezifische Bedürfnisse deckt.

    Gut, eine Integration von Protokollen für dynamisches Routing wäre was feines, aber auch das könnte nicht out-of-the-box funktionieren. Diese Themen sind viel zu komplex. Ohne Details und ohne Deine Bereitschaft o. g. zu berücksichtigen, drehen wir uns im Kreis.

    Hast Du Dir schon die Mühe gemacht, mit tcpdump und Logfiles Deine Annahmen zu stützen? Ähnliche Szenarien funktionieren ohne die von Dir genannten Effekte. Über Deine Konfiguration ist fast nichts bekannt ... sorry, aber Du kannst so viele Verständnis- und Konfigurationsfehler verwendet haben, dass ohne wirkliche Details keine ernsthafte Hilfe möglich ist.

Cookie Information Banner