Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 17785 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SG und zweites Gateway im LAN -> wie Routing konfigurieren?

LoD

Hallo,

ich versuche gerade, eine SG-Teststellung so zu konfigurieren, dass sie grundsätzlich Anfragen an ein anderes Default Gateway weiterleitet. Im Router, der ersetzt werden soll, sind mehrere Routen eingetragen. Per Default soll ein anderer Router im LAN genutzt werden (z.B. für Web-Anfragen).

Ich möchte quasi die SG als zentralen Router nutzen. Bisher habe ich das mit  "Standard static routes" und "policy routes" versucht, komme aber nicht zum gewünschten Ergebnis.

Dann habe ich testweise auf dem LAN-Interface als DefGW den anderen Router eingetragen, alle anderen Interfaces deaktiviert.

Ein paar Anwendungen funktionieren so bereits, allerdings z.B. Websurfen nicht. Der andere Router ist ein transparenter SSO-Proxy. Zumindest Webanfragen (http(s)) inkl. Userdaten sollten an diesen weitergeleitet werden. Das lokale WLAN soll über die Web Protection der SG laufen.

Weitere Ansätze hatte ich hier geschrieben: https://community.sophos.com/products/unified-threat-management/f/55/t/78423

Nun hoffe ich, dass mir hier jemand weiterhelfen kann. Grundsätzlich finde ich die SG-Devices beeindruckend und kann mir daher nicht vorstellen, dass dieses Vorhaben damit nicht umsetzbar ist, wo es doch der alte Router mit simplen Route-Einträgen kann.

Grüße



This thread was automatically locked due to age.
Parents
  • 0

    Hi LoD,

    ich bin mir nicht sicher ob ich richtig verstehe was du vorhast. Ich kommentiere einfach mal deinen Initial Post. Vieleicht kommen wir ja so weiter.

    ich versuche gerade, eine SG-Teststellung so zu konfigurieren, dass sie grundsätzlich Anfragen an ein anderes Default Gateway weiterleitet. Im Router, der ersetzt werden soll, sind mehrere Routen eingetragen.

    Die eingetragenen Routen kannst du ja so übernehmen.

    Per Default soll ein anderer Router im LAN genutzt werden (z.B. für Web-Anfragen).

    Das ist erst mal gar kein Problem. WAN 1 über Transfernetz auf anderen Router. Defdault Gateway = interne Router IP

    Ich möchte quasi die SG als zentralen Router nutzen. Bisher habe ich das mit  "Standard static routes" und "policy routes" versucht, komme aber nicht zum gewünschten Ergebnis.

    Die SG als Standard Gateway bedeutet die interne IP als Standardgateway auf den Clients eintragen. Den zweiten Teil verstehe ich nicht in dem Zusammenhang.

    Dann habe ich testweise auf dem LAN-Interface als DefGW den anderen Router eingetragen, alle anderen Interfaces deaktiviert.

    Bullshit ;) Damit deklarierst du das LAN Interface als externes Interface. Bitte Gateway löschen.

    Der andere Router ist ein transparenter SSO-Proxy. Zumindest Webanfragen (http(s)) inkl. Userdaten sollten an diesen weitergeleitet werden.

    Wenn du zwei WAN Interfaces nutzt, erstellst du eine Multipath Regel mit Quelle = internes Netz, Protokoll = Http/Htps, Ziel = Internet-IPV4 und leitest das über das entsprechende WAN Interface. Der Proxy darf nicht auf das interne LAN horschen.

    Das lokale WLAN soll über die Web Protection der SG laufen.

    Ist auch kein Problem. Du erstellst ein transparentes Proxy Profil für den IP Range des lokalen WLANs. Falls dein WLAN im gleichen Netz ist wie das normale LAN musst du das irgendwie trennen. Falls du Sopphos APs verwendest kannst du hier ein WLAN in einer seperaten Zone konfigurieren.

    ----------------------------

    Du kannst mehrere Multipath Regeln erstellen die von oben nach unten abgearbeitet werden. Den Port 8080 alleine in eine Multipath Regel aufzunemen macht nur Sinn wenn dahinter ein Upstream Proxy läuft oder Webserver auf Portr 8080 angesprochen werden. Der Proxy initiiert auch 80/443 Verbindungen.

    Wenn du das trennen möchtest legst du zwei Multipath Regeln an. Die erste wie vorher beschrieben damit die normalen Webanfragen auf den Router gehen und die zweite mit Quelle = WLAN Netz (Inklusive WLAN Gateway Adresse), Protokoll = vordefiniertes Web Surfing Objekt, Ziel = Internet IPV4 und WAN 2 als Interfacezuordnung.

    Die erste Regel zieht dann nur bei Anfragen die aus dem lokalen LAN kommen. Die zweite Regel zieht für alle Anfragen die aus dem WLAN kommen. Wenn der Proxy die Verbindung aufbaut wird die IP des WLAN Inerfaces verwendet. Deswegen zieht diese Regel dann auch über einen transparenten Proxy.

    €dit - Bin mir hier nicht sicher. Muss ich selber noch mal verifizieren.

    €dit 2: Habe ich verifiziert, funktioniert genauso wie beschrieben :)

    Du kannst danach weitere Multipath Regeln erstellen die auf alle Bedürfnisse angepasst werden. Außerdem kannst du definieren das Regeln übersprungen werden bei einem Interface Error. Das bedeutet du hast dadurch auch noch Ausfallsicherheit.

    Wenn du keine Multipathregel erstellt wird der gesamte Traffic über beide WAN Leitungen geloadbalanced. Entsprechend der Gewichtung die du konfiguriert hast.


    Falls ich deine Anforderungen falsch verstanden habe, zeichne das ganze doch mal auf und häng das Bild dann hier an.

    vg

    mod

     

  • 0 in reply to mod2402

    Hi mod,


    erstmal danke für die Erklärungen. Ich habe die Netzwerkskizze mal angehängt und antworte auf Deine Fragen.

    netplan.pdf

    Hoffentlich ist das verständlicher. Hier die Antworten:

    >Die SG als Standard Gateway bedeutet die interne IP als Standardgateway auf den Clients eintragen. Den zweiten Teil verstehe ich nicht in dem Zusammenhang.
    Das ist auch kein Problem, Die SG ist das Default Gateway auf den Hosts im LAN. :-)
    Wichtig ist: es sollen statische Routen an zentraler Stelle verwaltet werden. Das übernimmt die "SG -> Interfaces/Routing -> Static Routing", in der Skizze als Partner-Netze, die eigene Router im LAN haben.

    >Das ist erst mal gar kein Problem. WAN 1 über Transfernetz auf anderen Router. Default Gateway = interne Router IP
    Die SG verfügt über mehrere WAN-Leitungen, damit ist automatisch Uplink Balancing aktiv. Unter Transfernetz verstehe ich ein 1:1-NATting, richtig? Setzt das nicht voraus, das auf beiden Seiten (also SG und hinter 2.Router) das selbe Netz ist? Ansonsten habe ich alle Netze, die über "2.Router" erreichbar ist, als statische Route eingetragen.

    >Wenn du zwei WAN Interfaces nutzt, erstellst du eine Multipath Regel mit Quelle = internes Netz, Protokoll = Http/Htps, Ziel = Internet-IPV4 und leitest das über das entsprechende WAN Interface.
    Wenn ich also vom LAN -> Http/S -> Internet Datenverkehr habe, sage ich uner Multipath-Rules, dass dieses immer an die .2 weitergeleitet wird. Richtig?

    >Der Proxy darf nicht auf das interne LAN horschen.
    Ich denke, das ist der Knackpunkt: Kann ich dann noch auf einfachem Wege (Proxy-Eintrag im Browser) bestimmen, dass bestimmte Clients nicht über die .2 sondern über die SG (.8) gehen sollen/dürfen?

    Nur als Beispiel: Der 2. Router als transparenter Proxy blockt Windows Update. Für Server soll dieser Block aber nicht gelten.
    Da zusätzlich das WLAN gemanaged und gesichert werden soll, was der 2. Router nicht macht und bisher über eigenständige APs gelöst wurde, kam mir die Idee, die SG dafür anzuschaffen. Später möchte ich den Server extra abzusichern, indem ich sie -transparent durch die SG- vom LAN trenne.

    Ich hoffe, das die Zielstellung und Problematik damit klar sind. Sonst versuche ich es gerne nochmal. Merke beim Schreiben auch, dass es nicht so "ganz rund" ist bzw. vom Standard-Szenario abweicht.

    Danke und Gruß

    LoD

  • 0 in reply to LoD

    hi lod,

    ich würde den zweiten Router vom lan trennen und ein transfernetz zwischen SG und 2tem Router bilden. Dann kannst du meinen Vorschlag 1zu1 umsetzten. In der jetzigen Konstellation bist du nur am basteln.

    vg

    mod

Reply Children
No Data
Cookie Information Banner