Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Eingehenden und ausgehenden Datenverkehr über zwei WAN Anschlüsse trennen

Mitglied: Twinrix

Twinrix (Level 1) - Jetzt verbinden

30.10.2013, aktualisiert 23:44 Uhr, 2349 Aufrufe, 6 Kommentare

Hallo zusammen,

aktuell ist mein LAN über einen KDG Anschluss mit dem Rest der Welt verbunden.

Der Aufbau ist dabei: Internet --> KDG Modem / Router --> Endian Firewall (Community 2.5.1) --> LAN (Server + Clients)

Im Internet steht noch ein angemieteter virtueller Server, der für den Exchange im LAN als Relay dient (genau genommen ist der Endian Mailserver auch noch dazwischen). Läuft auch alles wunderbar.

Ich habe allerdings zunehmend das Problem, dass die dynamischen KDG IPs bei bestimmten reputationsbasierten Webfiltern eher schlecht gescored werden. Das führt dazu, dass z.B. Outlook Web Access oder Remote Web Workplace aus bestimmten Netzen nicht zu erreichen sind (da der A Eintrag der Domain auf eine dynamische KDG IP zeigt).

Jetzt habe ich hier noch einen (langsamen) DSL Zugang mit statischer IP, bei dem das Filterproblem nicht besteht.

Folgendes ist mein Wunschszenario:

Domain abc.de --> A Eintrag auf die statische IP Adresse des DSL Zugangs, so dass über die abc.de ein Zugriff auf OWA und RWW möglich ist (eingehender Datenverkehr). Internetaufrufe aus dem LAN (ausgehender Datenverkehr) sollen aus Performancegründen wie bisher über den KDG Zugang laufen, auch der Mailaustausch.

Nun funktioniert es offensichtlich leider nicht, den DSL Router einfach neben den KDG Router vor die Endian zu hängen. Der DSL Router ist zwar aus dem Internet erreichbar, das Port-Forwarding DSL-Router --> Endian läuft aber (im Gegensatz zum Port-Forwarding KDG-Router --> Endian) ins Leere. Möglicherweise weil in der Endian das Standard Gateway auf den KDG Router zeigt?! Würde ein zusätzlicher Uplink in der RED ZONE funktionieren?

Wie kann ich den DSL Zugang integrieren, damit o.g. Szenario funktioniert?

Bin für jeden Tip dankbar.

VG

Eike
Mitglied: tkr104
31.10.2013 um 08:07 Uhr
Moin,

Du suchst nach Policy Based Routing, die Suchfunktion wird dein Freund sein.

VG,

Thomas
Bitte warten ..
Mitglied: aqui
31.10.2013, aktualisiert um 09:13 Uhr
Ein Dual Port WAN Router wie Cisco 886va oder Draytek 29xx löst das Problem im Handumdrehen !
Bedenke allerdings immer das du keine Flow basierte Trennung hinbekommst wenn du mit NAT Routern arbeitest ! Also keine per Paket Trennung.
Das ist auch klar wenn man sich die Grundmechanismen von TCP/IP mal vor Augen führt.
Am Zielhost kommen deine lokalen Pakete durch NAT (Adress Translation) am Router immer mit der öffentlichen Absender IP des Routers an.
Der Zielhost wird dann natürlich auch alle Pakete einer Session zwingend immer an diese IP Adresse zurücksenden. Würdest du das verändern, kommt es zu einen IP Adress Mismatch in der Session was zum sofortigen Abbruch selbiger führt.
Du kannst also immer nur ein sessionbasiertes PBR (Policy Based Routing) machen, was die obigen Systeme problemlos erledigen. Ob die Endian PBR kann ist unbekannt. Generell können Firewalls wie z.B. pfsense_/_Monowall PBR. Deine restliche verwendete HW kann generell kein PBR deshalb muss dein Ansatz damit schon im Grundsatz scheitern, was er ja auch tut wie man oben lesen kann.
Bitte warten ..
Mitglied: Twinrix
31.10.2013 um 10:15 Uhr
Hallo,

danke für die Rückmeldungen.

Folgendes habe ich gemacht & funktioniert:

1. Uplink in der Firewall (Gateway = KDG Router) aufgebaut wie folgt:

Internet --> Kabel Deutschland Router (Port Forwarding) --> Endian FW --> LAN
dynamische WAN-IP --> 192.168.1.1 --> 192.168.1.2 --> 192.168.0.x

Dieser Uplink ist als Hauptuplink aktiviert, so dass aller Traffic aus dem LAN in Richtung Internet über den KDG Anschluss läuft (kein Balancing).

Mit einer weiteren Netzwerkkarte einen zusätzlichen Uplink (Gateway = DSL Router) in der FW eingerichtet:

Internet --> DSL Router (Port Forwarding) --> Endian FW --> LAN
statische WAN IP --> 192.168.2.1 --> 192.168.2.2 --> 192.168.0.x

Alles was an der öffentlichen IP des DSL Routers ankommt wird über den 2. Uplink ins LAN gerouted.

Danke,

Eike
Bitte warten ..
Mitglied: aqui
31.10.2013 um 12:48 Uhr
So gehts natürlich auch...aber ohne ein PBR Routing wärst du dann vom Endgerät und dessen Gateway Eintrag abhängig !
Beispiel:
Du kommst rein über die öffentliche IP des DSL Routers (der dann vom remoten Absender die Ziel IP ist) wirst über die Firewall auf das gemeinsame LAN 192.168.0.x /24 auf ein Endgerät dort geroutet was soweit ja funktioniert.
Hat dieses Endgerät jetzt aber über die FW den KDG Router als default Gateway, dann kommt am vorigen Absender ein Antwortpaket mit einer anderen Absender IP an nämlich der des KDG Routers.
Der Absender erwartet aber ein Antwortpaket mit der DSL Router IP und verwirft sofort die Session. So kann das also niemals funktionieren. Ausnahme natürlich du hast in der FW eine PBR Regel die diesen Traffic trotz Gateway Eintrag auf den KDG Router dann als next Hop an den DSL Router sendet.
Dann funktioniert es wieder. Die Endian muss also zwingend irgendeine Art von PBR machen.
Bitte warten ..
Mitglied: Twinrix
31.10.2013 um 13:29 Uhr
Hallo aqui,

danke für Dein Feedback - ich kenne mich in den Tiefen von TCP/IP Routing wahrlich nicht aus

Server und Clients im LAN haben als Standardgateway die FW.

Ich vermute, dass die FW aufgrund der jetzigen Konfiguration mit 2 WAN Schnittstellen (129.168.1.x und 192.168.2.x) die Antwort aus dem LAN - bspw. vom IIS - wieder an das Gateway / den Router schickt, von dem die Anfrage her kam.

Zumindest sind jetzt die Dienste ansprechbar - auch aus Netzen, aus denen es vorher über den KDG Router nicht ging.

VG

Eike
Bitte warten ..
Mitglied: aqui
01.11.2013 um 10:02 Uhr
OK, wenns jetzt irgendwie geht ist ja gut....
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Zwei Netzwerke mit zwei WAN-Anschlüssen auf MikroTIK CCR konfigurieren

Frage von ConnyHoffmannRouter & Routing9 Kommentare

Hallo zusammen, Ich stehe vor einem Problem, welches mich langsam ziemlich verzweifeln lässt Ich möchte auf einem Gerät (CCR ...

Netzwerkgrundlagen

Client auf einem Switch mit zwei WAN

gelöst Frage von istike2Netzwerkgrundlagen5 Kommentare

Hallo, ich habe hier zu Hause zwei WAN-Anschlüsse (DSL 10.1.2.0 bzw. LTE 192.168.123.0) Da ich zwei Clients Internetzugang über ...

Router & Routing

Zwei lokale IPs über bestimmten WAN Anschluss routen - Digitialisierungsbox

Frage von VanillakopRouter & Routing13 Kommentare

Hallo, ich habe eine Digitalisierungsbox Smart von der Telekom (Hersteller ist bintec). An der Box sind zwei ADSL Leitungen ...

Switche und Hubs

Zwei WAN - wie realisieren?

Frage von VeoloreSwitche und Hubs5 Kommentare

Hallo, folgende Ausgangssituation: 1. WAN: Vodafone Kabel-Internet => Angebunden an einer Fritzbox 6490 2. WAN: Telekom VDSL Leitung => ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 3 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 10 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 13 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...