1
Starlink public IP kein funktionierendes Multipathing bei Sophos UTM
Hallo liebe Community,
wir haben uns einen Starlink Business Account mit der Option einer festen IP-Adresse "gegönnt". Der Starlink soll unsere Backup-Leitung werden, wenn sämtliche lokalen Quellen ausfallen. LTE war/ist keine Option, da auch bei einem längeren Stromausfall eine Verbindung nötig sein muss (wir haben ein Dieselaggregat im Keller). Neben dem Starlink betreiben wir einen Deutschland LAN Connect IP der Telekom. Als Firewall verwenden wir eine Sophos UTM.
Auf der UTM haben wir den Uplink-Ausgleich aktiviert. Über Multipath-Regeln möchten wir festlegen, dass Web-Traffic und Filetransfers fix über den Starlink geroutet werden. Alles andere soll über den DCIP laufen. Sollte dann mal der Strom ausfallen und der DCIP "weg" sein, sollte der Uplink-Ausgleich greifen und in diesem Fall dann sämtlichen Verkehr über Starlink pushen.
Wir haben uns den Business-Tarif geholt, da wir auf die fix IP angewiesen sind - der Starlink soll auch als Backup-Ziel für unsere VPNs dienen, wenn der DCIP weg ist.
Wir haben jetzt nur ein Problem:
Belassen wir die IP-Policy des Starlink auf "Default" funktioniert das oben genannte Szenario einwandfrei - die Sophos routet den Webtraffic über den Starlink und alles andere läuft auf dem DCIP - in diesem Szenario nutzt Starlink keine persistente IP und macht CGNat. Wie in der Anleitung des Starlink definiert stellen wir die IP-Policy auf "Public IP" um und starten die Kiste neu - wir erhalten eine andere (fixe) IP-Adresse. Allerdings funktioniert jetzt der Uplink-Ausgleich nicht mehr...die Sophos routet jetzt alles über den DCIP als ob der Starlink-Uplink nicht verfügbar ist. Lustig wird's aber erst dann, wenn man händisch den DCIP ausschaltet - erst danach routet die Sophos wieder über den Starlink (hat ja theoretisch keine andere Chance mehr).
Zusammengefasst hat anscheinend der Uplink-Ausgleich der Sophos irgendwie ein Problem mit der festen IP-Policy des Starlinks. Habt ihr dazu irgendwie eine Idee??
wir haben uns einen Starlink Business Account mit der Option einer festen IP-Adresse "gegönnt". Der Starlink soll unsere Backup-Leitung werden, wenn sämtliche lokalen Quellen ausfallen. LTE war/ist keine Option, da auch bei einem längeren Stromausfall eine Verbindung nötig sein muss (wir haben ein Dieselaggregat im Keller). Neben dem Starlink betreiben wir einen Deutschland LAN Connect IP der Telekom. Als Firewall verwenden wir eine Sophos UTM.
Auf der UTM haben wir den Uplink-Ausgleich aktiviert. Über Multipath-Regeln möchten wir festlegen, dass Web-Traffic und Filetransfers fix über den Starlink geroutet werden. Alles andere soll über den DCIP laufen. Sollte dann mal der Strom ausfallen und der DCIP "weg" sein, sollte der Uplink-Ausgleich greifen und in diesem Fall dann sämtlichen Verkehr über Starlink pushen.
Wir haben uns den Business-Tarif geholt, da wir auf die fix IP angewiesen sind - der Starlink soll auch als Backup-Ziel für unsere VPNs dienen, wenn der DCIP weg ist.
Wir haben jetzt nur ein Problem:
Belassen wir die IP-Policy des Starlink auf "Default" funktioniert das oben genannte Szenario einwandfrei - die Sophos routet den Webtraffic über den Starlink und alles andere läuft auf dem DCIP - in diesem Szenario nutzt Starlink keine persistente IP und macht CGNat. Wie in der Anleitung des Starlink definiert stellen wir die IP-Policy auf "Public IP" um und starten die Kiste neu - wir erhalten eine andere (fixe) IP-Adresse. Allerdings funktioniert jetzt der Uplink-Ausgleich nicht mehr...die Sophos routet jetzt alles über den DCIP als ob der Starlink-Uplink nicht verfügbar ist. Lustig wird's aber erst dann, wenn man händisch den DCIP ausschaltet - erst danach routet die Sophos wieder über den Starlink (hat ja theoretisch keine andere Chance mehr).
Zusammengefasst hat anscheinend der Uplink-Ausgleich der Sophos irgendwie ein Problem mit der festen IP-Policy des Starlinks. Habt ihr dazu irgendwie eine Idee??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 81941819230
Url: https://administrator.de/contentid/81941819230
Printed on: April 27, 2024 at 16:04 o'clock
1 Comment
Konnten es selbst heraus finden:
Der Uplink-Ausgleich der Sophos basiert technisch in den Standardeinstellungen auf einem Tracert zu einem der DNS-Root-Server. Die Sophos geht davon aus, dass der Link weg ist, wenn der Tracert ab dem dritten Hop keine valide Rückmeldung bekommt.
Bei uns war es so, dass beim Starlink-Uplink im Standardmodus sämtliche Hops im Tracert eine Rückmeldung gegeben haben. Sobald man aber auf die fixe Public-IP umgestellt hat, sind mittendrin ab Hop 3 bis Hop 6 keine ICMP-Antworten mehr angekommen...erst "danach" ging es wieder weiter. Für die Sophos hat das aber bedeutet, dass der Link down war und dieser wurde nicht mehr genutzt.
Durch umstellen der Sophos auf ein festes "Heartbeat-Ziel", in diesem Fall google.de, checkt diese nur noch die Verfügubarkeit von Google über diesen Link und verzichtet auf die Auswertung des Tracerts.
Der Uplink-Ausgleich der Sophos basiert technisch in den Standardeinstellungen auf einem Tracert zu einem der DNS-Root-Server. Die Sophos geht davon aus, dass der Link weg ist, wenn der Tracert ab dem dritten Hop keine valide Rückmeldung bekommt.
Bei uns war es so, dass beim Starlink-Uplink im Standardmodus sämtliche Hops im Tracert eine Rückmeldung gegeben haben. Sobald man aber auf die fixe Public-IP umgestellt hat, sind mittendrin ab Hop 3 bis Hop 6 keine ICMP-Antworten mehr angekommen...erst "danach" ging es wieder weiter. Für die Sophos hat das aber bedeutet, dass der Link down war und dieser wurde nicht mehr genutzt.
Durch umstellen der Sophos auf ein festes "Heartbeat-Ziel", in diesem Fall google.de, checkt diese nur noch die Verfügubarkeit von Google über diesen Link und verzichtet auf die Auswertung des Tracerts.