9
FortiGate Internet Load Balancing - Kann man Protocol Binding einrichten?
Hallo zusammen
Wir haben im Betrieb zurzeit einen Netgear SRX5308 Router mit zwei ISP Anschlüssen. Dort ist Load Balancing konfiguriert und gewisse Protokolle haben wir auf WAN1 gebunden(Protocol Binding). Grund dafür ist, dass HTTPS Sessions nicht während der Sitzung auf das WAN2 wechseln und man sich wieder authentifizieren muss.
Jetzt bin ich dabei die FortiGate 60D anzuschauen, weil wir haben ein Branch Office und mit diesem möchten wir ein IPSec Site2Site VPN einrichten. Im Branch Office würde ich auch gerne eine FortiGate einbauen.
Ich muss mir nun aber sicher sein, dass ich mit der FortiGate das aktuelle Netzwerk genauso weiter betreiben kann, wie ich es bis jetzt mit dem Netgear Router betrieben habe. Leider finde ich im Internet nicht viel zu FortiGate und Protocol Binding.
Könnt Ihr mir sagen, ob das möglich ist? Load Balancing zwischen WAN1 und WAN2 aber spezifische Protokolle an WAN1 oder WAN2 zu binden?
Was ich gefunden habe:
http://nullhaus.com/2014/02/fortigate-wan-load-balancing/
http://kb.fortinet.com/kb/documentLink.do?popup=true&externalID=103 ...
https://www.youtube.com/watch?v=P0oshKYvFY8
Was haltet ihr davon?
Unser Hauptstandort hat ca. 20 Mitarbeiter und das Branch Office ca. 3 - 5.
Vielen Dank und Grüsse
jompsi
Wir haben im Betrieb zurzeit einen Netgear SRX5308 Router mit zwei ISP Anschlüssen. Dort ist Load Balancing konfiguriert und gewisse Protokolle haben wir auf WAN1 gebunden(Protocol Binding). Grund dafür ist, dass HTTPS Sessions nicht während der Sitzung auf das WAN2 wechseln und man sich wieder authentifizieren muss.
Jetzt bin ich dabei die FortiGate 60D anzuschauen, weil wir haben ein Branch Office und mit diesem möchten wir ein IPSec Site2Site VPN einrichten. Im Branch Office würde ich auch gerne eine FortiGate einbauen.
Ich muss mir nun aber sicher sein, dass ich mit der FortiGate das aktuelle Netzwerk genauso weiter betreiben kann, wie ich es bis jetzt mit dem Netgear Router betrieben habe. Leider finde ich im Internet nicht viel zu FortiGate und Protocol Binding.
Könnt Ihr mir sagen, ob das möglich ist? Load Balancing zwischen WAN1 und WAN2 aber spezifische Protokolle an WAN1 oder WAN2 zu binden?
Was ich gefunden habe:
http://nullhaus.com/2014/02/fortigate-wan-load-balancing/
http://kb.fortinet.com/kb/documentLink.do?popup=true&externalID=103 ...
https://www.youtube.com/watch?v=P0oshKYvFY8
Was haltet ihr davon?
Unser Hauptstandort hat ca. 20 Mitarbeiter und das Branch Office ca. 3 - 5.
Vielen Dank und Grüsse
jompsi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 263687
Url: https://administrator.de/contentid/263687
Printed on: April 23, 2024 at 17:04 o'clock
9 Comments
Latest comment
Hallo,
aus deinem 1. Link:
"We’ll start from the top with Source IP based, which assigns wan interfaces based on the source IP. Once an internal host makes a connection across the wan interface, all subsequent sessions will traverse the same wan interface. This is the default ECMP method and the simplist."
Alternativ dazu policy based routing.
Wenn man dann jetzt richtig faul ist, geht auch der transparent mode. Dann kann der Netgear drin bleiben. Ist aber meiner Meinung nach keine richtige Lösung.
aus deinem 1. Link:
"We’ll start from the top with Source IP based, which assigns wan interfaces based on the source IP. Once an internal host makes a connection across the wan interface, all subsequent sessions will traverse the same wan interface. This is the default ECMP method and the simplist."
Alternativ dazu policy based routing.
Wenn man dann jetzt richtig faul ist, geht auch der transparent mode. Dann kann der Netgear drin bleiben. Ist aber meiner Meinung nach keine richtige Lösung.
Hallo
Schon, aber es ist auch so, dass wir beim WAN1 eine statische IP haben und wenn wir auf eine gewisse IP via FTP zugreifen, muss man über das WAN1 raus, weil sonst der Access verweigert wird.
Danke
Schon, aber es ist auch so, dass wir beim WAN1 eine statische IP haben und wenn wir auf eine gewisse IP via FTP zugreifen, muss man über das WAN1 raus, weil sonst der Access verweigert wird.
Danke
Hi Jompsi,
Load Balancing über mehrere Leitungen kein Problem. Als Sharing Algorithmen hast du da Folgendes zur Auswahl:
-Source IP Based
-Weighted Load Balance (Gewichtung einzelner WAN Ports)
-Spillover (Wenn zB. 2Mbit an WAN1 erreicht sind, werden die restlichen Sessions über WAN2 geroutet)
-Destination IP based
Um einzelne Protokolle an ein Interface festzunageln kannst du, wie exchange schon beschrieben hat, policy based routing nutzen. Dort kannst du dann sagen, dass Port 80 über WAN1 rausgehen soll, Port 53 über WAN2, Port 443 über Port4, usw. usw.
Falls du noch Fragen hast, schieß los.
VG
exellent
Load Balancing über mehrere Leitungen kein Problem. Als Sharing Algorithmen hast du da Folgendes zur Auswahl:
-Source IP Based
-Weighted Load Balance (Gewichtung einzelner WAN Ports)
-Spillover (Wenn zB. 2Mbit an WAN1 erreicht sind, werden die restlichen Sessions über WAN2 geroutet)
-Destination IP based
Um einzelne Protokolle an ein Interface festzunageln kannst du, wie exchange schon beschrieben hat, policy based routing nutzen. Dort kannst du dann sagen, dass Port 80 über WAN1 rausgehen soll, Port 53 über WAN2, Port 443 über Port4, usw. usw.
Falls du noch Fragen hast, schieß los.
VG
exellent
1
Dann kann ich also zuerst das Load Balancing einrichten und die Policies internal -> WAN1 -> ALL und internal -> WAN2 -> ALL.
Und um die einzelnen Protokolle an einen WAN Port zu binden, erstelle ich für diese je eine Policy und diese müssen einfach vor der ALL Policy an der Reihe sein. Ist das so korrekt?
Wenn ich nun HTTPS an WAN2 binde, kann es dann nicht sein, dass HTTPS bereits über WAN1 geht? Woher soll WAN1 wissen, dass HTTPS über WAN2 gehen soll, wenn in WAN1 die Policy ALL alles zulässt?
Vielen Dank und freundliche Grüsse
jompsi
Und um die einzelnen Protokolle an einen WAN Port zu binden, erstelle ich für diese je eine Policy und diese müssen einfach vor der ALL Policy an der Reihe sein. Ist das so korrekt?
Wenn ich nun HTTPS an WAN2 binde, kann es dann nicht sein, dass HTTPS bereits über WAN1 geht? Woher soll WAN1 wissen, dass HTTPS über WAN2 gehen soll, wenn in WAN1 die Policy ALL alles zulässt?
Vielen Dank und freundliche Grüsse
jompsi
Du kannst auch eine Zone erstellen und WAN1 + WAN2 dort reinpacken dann musst du nicht zwei Policies erstellen (INT -> WAN1 und INT -> WAN2). Damit würdest du dann nur die Zone berechtigen (INT -> Zone_WAN).
Nein, sobald du eine "policy based route" erstellt hast, greift diese immer vor dem normalen Routing Prozess. Hast du in der Policy Based Route eingetragen, dass HTTPS über WAN2 rausgeht, dann wird das auch immer so passieren (Es sei denn WAN2 geht down, dann würde HTTPS automatisch über WAN1 geroutet).
Nein, sobald du eine "policy based route" erstellt hast, greift diese immer vor dem normalen Routing Prozess. Hast du in der Policy Based Route eingetragen, dass HTTPS über WAN2 rausgeht, dann wird das auch immer so passieren (Es sei denn WAN2 geht down, dann würde HTTPS automatisch über WAN1 geroutet).
1
Aha 
Ihr müsst entschuldigen. Habe Router -> Static -> Policy Routes mit Policy & Objects -> Policy -> Policy verwechselt.
Hatte das Gefühl, ich muss das Protocol Binding in Policy & Objects -> Policy -> Policy konfigurieren.
Vielen Dank exchange und exellent
Noch eine Frage. Wie würdet Ihr das Load Balancing erstellen?
1) Router -> Static -> Settings -> ECMP Load Balancing Method
2) System -> Netwrok -> WAN Link Load Balancing
3) Router -> Static -> Static Routes -> die Routes manuell setzen
Bei der Variante 2 gibt es doch ein virtuelles Interface für WAN1 und WAN2 und dadurch kann ich kein Policy Based Routing durchführen, verstehe ich das richtig?
Ihr müsst entschuldigen. Habe Router -> Static -> Policy Routes mit Policy & Objects -> Policy -> Policy verwechselt.
Hatte das Gefühl, ich muss das Protocol Binding in Policy & Objects -> Policy -> Policy konfigurieren.
Vielen Dank exchange und exellent
Noch eine Frage. Wie würdet Ihr das Load Balancing erstellen?
1) Router -> Static -> Settings -> ECMP Load Balancing Method
2) System -> Netwrok -> WAN Link Load Balancing
3) Router -> Static -> Static Routes -> die Routes manuell setzen
Bei der Variante 2 gibt es doch ein virtuelles Interface für WAN1 und WAN2 und dadurch kann ich kein Policy Based Routing durchführen, verstehe ich das richtig?
Gut, dass du es gefunden hast
1.) Das bleibt dir überlassen. Wenn beide Leitungen die gleiche "Wertigkeit" haben, würde ich es einfach auf dem Default lassen (Source IP based). "Gebalancet" wird dann anhand der Client Source IP Adresse. Sprich IP x geht immer über WAN1, IP y geht immer über WAN2.
2.) WAN Link Load Balancing ist im Prinzip das was ich oben mit der Zone beschrieben habe. Natürlich kannst du kein Policy based Routing auf diese Zone (bzw. WAN Link Load Balancing) legen da dies ja beide Interface WAN1 und WAN2 enthält. Du musst die policy based Route dann entweder auf WAN1 oder WAN2 setzen.
3.) OK, wenn du WAN Link Load Balancing auf der GUI siehst, dann wirst du wahrscheinlich FortiOS 5.2.x installiert haben? Da ist es ziemlich einfach. Du wählst unter System -> Network -> WAN Link Load Balance die Interface Members WAN1 und WAN2 aus, trägst dessen Gateways ein und aktivierst nach Möglichkeit noch einen Health Check im gleichen Fenster. Danach trägst du unter Router -> Static -> Static Routes die Default Route 0.0.0.0/0.0.0.0 ein und wählst dort das Device "wan-load-balance" aus (!!) Fertig
1.) Das bleibt dir überlassen. Wenn beide Leitungen die gleiche "Wertigkeit" haben, würde ich es einfach auf dem Default lassen (Source IP based). "Gebalancet" wird dann anhand der Client Source IP Adresse. Sprich IP x geht immer über WAN1, IP y geht immer über WAN2.
2.) WAN Link Load Balancing ist im Prinzip das was ich oben mit der Zone beschrieben habe. Natürlich kannst du kein Policy based Routing auf diese Zone (bzw. WAN Link Load Balancing) legen da dies ja beide Interface WAN1 und WAN2 enthält. Du musst die policy based Route dann entweder auf WAN1 oder WAN2 setzen.
3.) OK, wenn du WAN Link Load Balancing auf der GUI siehst, dann wirst du wahrscheinlich FortiOS 5.2.x installiert haben? Da ist es ziemlich einfach. Du wählst unter System -> Network -> WAN Link Load Balance die Interface Members WAN1 und WAN2 aus, trägst dessen Gateways ein und aktivierst nach Möglichkeit noch einen Health Check im gleichen Fenster. Danach trägst du unter Router -> Static -> Static Routes die Default Route 0.0.0.0/0.0.0.0 ein und wählst dort das Device "wan-load-balance" aus (!!) Fertig
1
Jawohl, auf der FortiGate, auf welche ich zurzeit Zugriff habe, ist FortiOS 5.2.2 installiert
Wenn ich wie in Punkt 3 das Interface wan-load-balance erstelle, kann ich dann trotzdem noch unter Policy Based Routes das WAN1 oder WAN2 Interface individuell auswählen?
Habe leider keine FortiGate zum testen und wenn ich eine Fortigate habe, habe ich keine zwei Internetleitungen, welche ich für Testzwecke verwenden kann, deshalb stelle ich diese Frage
Vielen vielen Dank exellent, für deine Geduld und Hilfe!!
Wenn ich wie in Punkt 3 das Interface wan-load-balance erstelle, kann ich dann trotzdem noch unter Policy Based Routes das WAN1 oder WAN2 Interface individuell auswählen?
Habe leider keine FortiGate zum testen und wenn ich eine Fortigate habe, habe ich keine zwei Internetleitungen, welche ich für Testzwecke verwenden kann, deshalb stelle ich diese Frage
Vielen vielen Dank exellent, für deine Geduld und Hilfe!!
Hi Jompsi,
kein Problem, dafür ist die Community ja da
Ja genau, du kannst danach in den Policy based Routes auch einzeln das WAN1 und WAN2 Interface auswählen.
Fortinet hat eine Demo Kiste im Internet. Da kannst du dir ein paar Sachen angucken (Read only).
https://fortigate.com
User demo
Passwort demo
kein Problem, dafür ist die Community ja da
Ja genau, du kannst danach in den Policy based Routes auch einzeln das WAN1 und WAN2 Interface auswählen.
Fortinet hat eine Demo Kiste im Internet. Da kannst du dir ein paar Sachen angucken (Read only).
https://fortigate.com
User demo
Passwort demo
1
