Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA5510 - Webtraffic über 2. DSL Leitung

Mitglied: Marc2106

Marc2106 (Level 1) - Jetzt verbinden

12.11.2008, aktualisiert 14.11.2008, 5659 Aufrufe, 4 Kommentare

ASA5510: Webtraffic vom sonstigen Traffic trennen

Guten Tag zusammen,

Vielleicht eine blöde Frage die ich hier zum Besten gebe...
...ist es möglich, mit einer ASA55xx Webtraffic über ein Interface z.B. mit 16K ADSL Leitung laufen zu lassen, und jeden anderen Traffic wie VPN,Mail,FTP etc. über eine andere, z.B. SDSL Leitung?

Dürfte doch eigentlich mit geschicktem Routing möglich sein, oder?
Was ist mit der Dual-ISP Funktionalität? How2?

Wäre echt nett wenn mir jemand bei diesem Thema weiterhelfen könnte. Ich wünsch euch noch nen netten Abend,

bis dann, Marc
Mitglied: Rafiki
13.11.2008 um 21:29 Uhr
Hallo Marc,

ich kenne keinen Trick wie man der ASA (PIX) eine zweite default Route beibringt und diese dann auch noch mit einer Policy belegen könnte. Leider ist die ASA deutlich mehr Firewall als Router.

Die ASA kann mehrere Kontexte haben, so etwas wie virtuelle Maschinen. Nur müssten diese Dann unterschiedliche IP Adressen haben. Das verlagert das Problem der Entscheidung welches Gateway der Traffic nehmen muss vor die ASA zum User hin. Das würde also das Problem auch nicht lösen.

Auf einem (Cisco) Router wäre das durchaus möglich, aber der Traffic würde nur nach Ports sortiert nicht wirklich nach http/https. Zumindest verstehe ich das in deiner Frage als Webtraffic. Das Stichwort hier ist dann PBR policy based routing.

Überlege dir mal ob du mit einem Proxyserver besser bedient bist. Ein Proxyserver könnte bevorzugt die eine DSL Leitung nutzen und zusätzlich auch unerwünschte Webseiten filtern und Virusscanner beinhalten.

Oder andersherum: Alles benutzt die eine DSL Leitung. Für VPN von extern wird die IP Adresse der zweiten DSL Leitung verwendet. Mit manuellen route einträgen zu VPN Partnern wird der Traffic auch über die zweite Leitung gelegt. Der Emailserver wird von Hand auf das Gateway der zweiten Leitung umgelenkt. Ich gebe zu das ist keine schöne Lösung aber vielleicht hilft es ja.

Da die ASA nun mal kein load balancer ist könntest du aber auch das Internet halbieren:
route ISP1 128.0.0.0 128.0.0.0 1.1.1.2
route ISP2 0.0.0.0 128.0.0.0 2.2.2.2
Aber auch das eben wieder nicht nach Webtraffic sortiert.

Cisco verkauft aber gerne noch weitere Kästchen, am liebsten redundant damit nix ausfallen kann und der Umsatz stimmt. 0

So genug geschrieben: Nimm einen einfachen Proxy.

Gruß Rafiki
Bitte warten ..
Mitglied: Marc2106
14.11.2008 um 17:49 Uhr
Hallo Rafiki,

erstmal vielen Dank für die Antwort. Ich bin gerade dabei mich mit PBR anzufreunden - wird die einzig saubere Lösung sein. Ist eigentlich das, was ich will. Also nochmal vielen Dank und einen schönen Abend noch.

Gruß Marc
Bitte warten ..
Mitglied: Rafiki
14.11.2008 um 21:17 Uhr
Ich habe heute im Büro noch mal kurz nachgesehen und den Bookmark gefunden den ich gestern schon Posten wollte. Die PIX / ASA FAQ von Cisco, erklärt unteranderem auch das PBR auf der ASA gegenwärtig nicht implementiert ist.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_it ...

Aber vieleicht geht es mit einem Trick doch:
http://forum.cisco.com/eforum/servlet/NetProf?page=netprof&forum=Se ...

Auszug:
route ISP1 0 0 1.1.1.2 //Default route pointing to ISP1 
route ISP2 0 0 2.2.2.2 2 //Default route with Metric 2 via ISP2 
 
static (ISP2,inside) tcp 0.0.0.0 80 0.0.0.0 80 
static (ISP2,inside) tcp 0.0.0.0 443 0.0.0.0 443 
 
sysopt noproxyarp inside 
 
nat (inside) 1 0 0 
global (ISP1) 1 interface 
global (ISP2) 1 interface 
Ich habe diesen Trick nicht ausprobiert.
Bitte warten ..
Mitglied: Marc2106
14.11.2008 um 21:51 Uhr
Hey Rafiki, danke für Deine Nachforschungen. Echt klasse. Das werde ich mal an der Testbox versuchen. Ergebnis poste ich. Wusste gar nicht, dass man im Routing den Port mit angeben kann. Was das IOS wohl davon hält? Testen wir's
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Lancom mit 2 DSL Leitung (internet IP über eine feste DSL-Leitung schicken)

gelöst Frage von lord-iconLAN, WAN, Wireless2 Kommentare

Hi, ich hab den Lancom 1821n mit 2 DSL'er als Loadbalancing. Das klappt auch schon seit Jahren. Nun hab ...

Hosting & Housing

2 Anbieter auf einer DSL-Leitung möglich?

gelöst Frage von BinaryBearHosting & Housing9 Kommentare

Moin, rein aus technischem Interesse sollte es doch möglich sein über eine physische DSL-Leitung mehrere Anmeldungen via PPPoE durchführen ...

DSL, VDSL

1 DSL-Leitung und 2 Router (Internet+Fax)

gelöst Frage von barry99DSL, VDSL8 Kommentare

Servus! Ich habe das folgende Problem. Im Haus (Keller) habe ich meinen Telefonanschluss. Jetzt brauche ich im Wohnzimmer einen ...

Router & Routing

Bintec RT1202 2 x DSL Leitung

Frage von OSelbeckRouter & Routing1 Kommentar

Guten Morgen zusammen, ich möchte gerne an einem RT1202 2 DSL Leitungen betreiben, ohne LB. Über eine möchte ich ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 11 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 17 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 21 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...