12
Policy Based Routing http und https am Bintec R232bw
Hallo an Alle,
wiedermal der bintec-Router.
Da mein Router leider kein Special Session Handling unterstützt muss ich den Weg über PBR gehen.
Ich möchte HTTP/HTTPS und alles was E-Mails sind über Anschluss A gehen lassen, den Rest soll der Load-Balancer entscheiden.
Ich habe im Firewall-Dialog für das WLan und das LAN eine gemeinsame Gruppe angelegt. Jetzt gehe ich davon aus dass ich eine Firewall-Richtlinie benötige, die die besagten Dienste am Anschluss B verweigert, richtig?
Ich möchte hier durch eine Fehlkonfiguration nicht das gesamte Netz lahmlegen.
Hoffe mir kann da jemand helfen =)
Grüße
Steve
PS: Bintec R232bw mit V.7.10 Rev. 1 (Patch 9) IPSec from 2012/04/24 00:00:00
Da mein Router leider kein Special Session Handling unterstützt muss ich den Weg über PBR gehen.
Ich möchte HTTP/HTTPS und alles was E-Mails sind über Anschluss A gehen lassen, den Rest soll der Load-Balancer entscheiden.
Ich habe im Firewall-Dialog für das WLan und das LAN eine gemeinsame Gruppe angelegt. Jetzt gehe ich davon aus dass ich eine Firewall-Richtlinie benötige, die die besagten Dienste am Anschluss B verweigert, richtig?
Ich möchte hier durch eine Fehlkonfiguration nicht das gesamte Netz lahmlegen.
Hoffe mir kann da jemand helfen =)
Grüße
Steve
PS: Bintec R232bw mit V.7.10 Rev. 1 (Patch 9) IPSec from 2012/04/24 00:00:00
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 193109
Url: https://administrator.de/contentid/193109
Printed on: April 23, 2024 at 19:04 o'clock
12 Comments
Latest comment
Hi,
normalerweise kannste Du erweiteres Routing nutzen. Dort kannst Du Ziel Port (also 80, 443, 25, 110, 143) angeben und auch das Interface das genutzt werden soll. Zumindest ist das so in anderen Bintec Modellen möglich. Ich nutze dazu allerdings die Konsole nicht das Webinterface.
normalerweise kannste Du erweiteres Routing nutzen. Dort kannst Du Ziel Port (also 80, 443, 25, 110, 143) angeben und auch das Interface das genutzt werden soll. Zumindest ist das so in anderen Bintec Modellen möglich. Ich nutze dazu allerdings die Konsole nicht das Webinterface.
Hallo,
kannst du mir da bitte ein Beispiel geben?
Ich habe halt den Standarddialog in dem ich angeben kann:
Routentyp
Ziel-IP-Adresse/Netzmaske
Schnittstelle
Netzwerktyp
Lokale IP-Adresse
Metrik
Erweiterte Routenparameter
Quellschnittstelle
Quell-IP-Adresse/Netzmaske
Layer 4-Protokoll
Quellport Port bis Port
Zielport Port bis Port
DSCP-/TOS-Wert
Modus
Quellschnittstelle wäre mein Lan, Zieladresse wäre dann 0.0.0.0, Schnittstelle wäre der Anschluss auf den es gehen soll? Und Protokoll dann TCP mit Ports für http(s)
Richtig?
kannst du mir da bitte ein Beispiel geben?
Ich habe halt den Standarddialog in dem ich angeben kann:
Routentyp
Ziel-IP-Adresse/Netzmaske
Schnittstelle
Netzwerktyp
Lokale IP-Adresse
Metrik
Erweiterte Routenparameter
Quellschnittstelle
Quell-IP-Adresse/Netzmaske
Layer 4-Protokoll
Quellport Port bis Port
Zielport Port bis Port
DSCP-/TOS-Wert
Modus
Quellschnittstelle wäre mein Lan, Zieladresse wäre dann 0.0.0.0, Schnittstelle wäre der Anschluss auf den es gehen soll? Und Protokoll dann TCP mit Ports für http(s)
Richtig?
Hi,
genau so würde ich es machen, wie Du es beschrieben hast. "WAN without transit network" auswählen und das Interface angeben wo die Pakete dein Netz verlassen sollen - nicht das Load-Balancer Interface.
Aber wie gesagt - du findest das unter IP / Routing / ADDEXT. Ich hoffe das hilft Dir weiter. Sollte aber das machen, was Du möchtest.
genau so würde ich es machen, wie Du es beschrieben hast. "WAN without transit network" auswählen und das Interface angeben wo die Pakete dein Netz verlassen sollen - nicht das Load-Balancer Interface.
Aber wie gesagt - du findest das unter IP / Routing / ADDEXT. Ich hoffe das hilft Dir weiter. Sollte aber das machen, was Du möchtest.
[URL=http://www.pic-upload.de/view-16566769/Router.jpg.html][IMG]http://www7.pic-upload.de/thumb/22.10.12/o2ukl75m1sh7.jpg[/IMG][/URL]
So in etwa?
Schnittstelle ist mein DSL-Anschluss
Quellschnittstelle ist eine Bridge zwischen LAN und WLAN und die Netzadresse der Bridge ist die 192.168.222.0
Solch eine Route müsste ich dann für alle Ports angeben die dediziert über den DSLer gehen sollen?
Grüße
So in etwa?
Schnittstelle ist mein DSL-Anschluss
Quellschnittstelle ist eine Bridge zwischen LAN und WLAN und die Netzadresse der Bridge ist die 192.168.222.0
Solch eine Route müsste ich dann für alle Ports angeben die dediziert über den DSLer gehen sollen?
Grüße
[URL=http://www.pic-upload.de/view-16577589/Routen.jpg.html][IMG]http://www7.pic-upload.de/thumb/23.10.12/o1bpdbvkki1f.jpg[/IMG][/URL]
So sieht es jetzt aus und funktioniert noch nicht.
Bridge_BR0 ist eine Verbindung zwischen Lan und WLan, am LAN_EN5-0 hängt der LTE und an WAN_WIZ ( Wahnwitz -.- ) ist das DSL.
Die beiden oberen Routen für WAN_WIZ sind die erweiterten Standardrouten für die HTTP-Ports
So sieht es jetzt aus und funktioniert noch nicht.
Bridge_BR0 ist eine Verbindung zwischen Lan und WLan, am LAN_EN5-0 hängt der LTE und an WAN_WIZ ( Wahnwitz -.- ) ist das DSL.
Die beiden oberen Routen für WAN_WIZ sind die erweiterten Standardrouten für die HTTP-Ports
Guten Morgen,
ich kann leider das erste Bild nicht sehen. Wieso hast Du eine Bridge eingerichtet ? Ein normales Routing hätte es doch auch getan. Ich denke aber das hat nichts mit dem eigentlichen Ziel zutun.
Schick mir doch bitte nochmal die Fotos für die erweiterten Standartrouten. Das LTE ist ein eigenständiger Router ?
ich kann leider das erste Bild nicht sehen. Wieso hast Du eine Bridge eingerichtet ? Ein normales Routing hätte es doch auch getan. Ich denke aber das hat nichts mit dem eigentlichen Ziel zutun.
Schick mir doch bitte nochmal die Fotos für die erweiterten Standartrouten. Das LTE ist ein eigenständiger Router ?
Guten Morgen =)
[URL=http://www.pic-upload.de/view-16577876/Router.jpg.html][IMG]http://www10.pic-upload.de/thumb/23.10.12/zn83rzkuqup.jpg[/IMG][/URL]
Nochmal das erste Bildchen.
Die Bridge hat ein Vorgänger eingerichtet. Prinzipiell soll sie wohl das WLAN und das LAN verbinden, wobei das WLAN nicht genutzt wird (werden soll) und dementsprechend könnte ich die auch ausschalten. Praktisch sollte sie ja aber auch nicht stören, oder?
LTE ist eine Vodafone Easybox am EN05 und DSL ist direkt am Bintec. Er wählt das DSL selber an, für das DSL macht das die Easybox.
[URL=http://www.pic-upload.de/view-16577876/Router.jpg.html][IMG]http://www10.pic-upload.de/thumb/23.10.12/zn83rzkuqup.jpg[/IMG][/URL]
Nochmal das erste Bildchen.
Die Bridge hat ein Vorgänger eingerichtet. Prinzipiell soll sie wohl das WLAN und das LAN verbinden, wobei das WLAN nicht genutzt wird (werden soll) und dementsprechend könnte ich die auch ausschalten. Praktisch sollte sie ja aber auch nicht stören, oder?
LTE ist eine Vodafone Easybox am EN05 und DSL ist direkt am Bintec. Er wählt das DSL selber an, für das DSL macht das die Easybox.
Oki. Diesmal kann ich es sehen.
Der Quellport muss beliebig sein. Wenn Du nur Port 80 angibst, dann reagiert er nur auf Anfragen von deinem Rechner die von Port 80 auf Port 80 gehen. Meist werden aber Ports im hohen 5 Stelligen Bereich als Quellport genutzt.
Mit Quellschnittstelle sagst Du ja, das die Sachen von deinem WLAN kommen. Nicht vergessen damit dann auch zu testen
Ansonsten sieht das schon sehr gut aus.
Der Quellport muss beliebig sein. Wenn Du nur Port 80 angibst, dann reagiert er nur auf Anfragen von deinem Rechner die von Port 80 auf Port 80 gehen. Meist werden aber Ports im hohen 5 Stelligen Bereich als Quellport genutzt.
Mit Quellschnittstelle sagst Du ja, das die Sachen von deinem WLAN kommen. Nicht vergessen damit dann auch zu testen
Ansonsten sieht das schon sehr gut aus.
Herzlichen Dank!
Das war exakt was mir gefehlt hat. Ich bin halt eher begabter Dilettant als Fachmann -.-
Da stellt sich mir aber die Frage weshalb der Quellport nicht 80 ist! Dast du da evtl eine Quelle für mich?
Und noch einmal: Vielen herzlichen Dank =) Kann ich mich endlich wieder in meiner IDE verstecken... An die IPSEC Sache will ich vorerst nicht denken xD
Das war exakt was mir gefehlt hat. Ich bin halt eher begabter Dilettant als Fachmann -.-
Da stellt sich mir aber die Frage weshalb der Quellport nicht 80 ist! Dast du da evtl eine Quelle für mich?
Und noch einmal: Vielen herzlichen Dank =) Kann ich mich endlich wieder in meiner IDE verstecken... An die IPSEC Sache will ich vorerst nicht denken xD
Moin Steve,
ich möchte dich bitten, die Funktion zum Einfügen von Bildern im Beitrag zu nutzen.
Hier steht, wie's geht
ich möchte dich bitten, die Funktion zum Einfügen von Bildern im Beitrag zu nutzen.
Hier steht, wie's geht
Bitte ! Freut mich das es geklappt hat.
Eine Quelle habe ich nicht. Aber in der Netzwerkkommunikation ist der Quellport recht uninteressant - wichtig ist immer der Zielport - hierauf horcht ja der Webserver oder ähnliches. Die Quellports vergibt dein Clientrechner dynamisch.
IPSEC mit der Bintec ist genial. Ich kenne kein Gerät das so kompatible zu anderen Gegenstellen ist wie die Bintec. Wichtig dabei ist immer das Deine Bintec und die Gegenstelle exakt die gleichen Werte nutzen. Dann noch eine Virtuelle IP und ein wenig NAT und die Sache läuft rund
Eine Quelle habe ich nicht. Aber in der Netzwerkkommunikation ist der Quellport recht uninteressant - wichtig ist immer der Zielport - hierauf horcht ja der Webserver oder ähnliches. Die Quellports vergibt dein Clientrechner dynamisch.
IPSEC mit der Bintec ist genial. Ich kenne kein Gerät das so kompatible zu anderen Gegenstellen ist wie die Bintec. Wichtig dabei ist immer das Deine Bintec und die Gegenstelle exakt die gleichen Werte nutzen. Dann noch eine Virtuelle IP und ein wenig NAT und die Sache läuft rund
Hallo Goscho,
Danke für den Link =) Werde ich mir zu Herzen nehmen!
@dfritz
Bisher wird hier halt das VPN einfach durchgereicht, soll heissen es gibt NAT-Regeln die die betreffenden Ports (1723 und GRE) an den DC weiterreichen und an dem findet dann die Authentifizierung statt. Ich hätte halt gern dass die Auth schon am Router stattfindet. Und da bin ich auf IPSEC gestossen. Damit muss ich mich aber erstmal in Ruhe auseinandersetzen. Ist ja denk ich mal schon ein höherer Aufwand.
Weiterhin wollte ich das WLAN anders absichern. Vielleicht mit einem Radius-Server oder Ähnlichem... Zukunftsmusik, wie gesagt.
Bis die Tage dann =)
Danke für den Link =) Werde ich mir zu Herzen nehmen!
@dfritz
Bisher wird hier halt das VPN einfach durchgereicht, soll heissen es gibt NAT-Regeln die die betreffenden Ports (1723 und GRE) an den DC weiterreichen und an dem findet dann die Authentifizierung statt. Ich hätte halt gern dass die Auth schon am Router stattfindet. Und da bin ich auf IPSEC gestossen. Damit muss ich mich aber erstmal in Ruhe auseinandersetzen. Ist ja denk ich mal schon ein höherer Aufwand.
Weiterhin wollte ich das WLAN anders absichern. Vielleicht mit einem Radius-Server oder Ähnlichem... Zukunftsmusik, wie gesagt.
Bis die Tage dann =)
