Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst FortiGate Internet Load Balancing - Kann man Protocol Binding einrichten?

Mitglied: jompsi

jompsi (Level 1) - Jetzt verbinden

17.02.2015, aktualisiert 18.02.2015, 1737 Aufrufe, 9 Kommentare, 4 Danke

Hallo zusammen

Wir haben im Betrieb zurzeit einen Netgear SRX5308 Router mit zwei ISP Anschlüssen. Dort ist Load Balancing konfiguriert und gewisse Protokolle haben wir auf WAN1 gebunden(Protocol Binding). Grund dafür ist, dass HTTPS Sessions nicht während der Sitzung auf das WAN2 wechseln und man sich wieder authentifizieren muss.

Jetzt bin ich dabei die FortiGate 60D anzuschauen, weil wir haben ein Branch Office und mit diesem möchten wir ein IPSec Site2Site VPN einrichten. Im Branch Office würde ich auch gerne eine FortiGate einbauen.

Ich muss mir nun aber sicher sein, dass ich mit der FortiGate das aktuelle Netzwerk genauso weiter betreiben kann, wie ich es bis jetzt mit dem Netgear Router betrieben habe. Leider finde ich im Internet nicht viel zu FortiGate und Protocol Binding.

Könnt Ihr mir sagen, ob das möglich ist? Load Balancing zwischen WAN1 und WAN2 aber spezifische Protokolle an WAN1 oder WAN2 zu binden?

Was ich gefunden habe:
http://nullhaus.com/2014/02/fortigate-wan-load-balancing/
http://kb.fortinet.com/kb/documentLink.do?popup=true&externalID=103 ...
https://www.youtube.com/watch?v=P0oshKYvFY8

Was haltet ihr davon?

Unser Hauptstandort hat ca. 20 Mitarbeiter und das Branch Office ca. 3 - 5.

Vielen Dank und Grüsse
jompsi
Mitglied: exchange
17.02.2015 um 13:42 Uhr
Hallo,
aus deinem 1. Link:
"We’ll start from the top with Source IP based, which assigns wan interfaces based on the source IP. Once an internal host makes a connection across the wan interface, all subsequent sessions will traverse the same wan interface. This is the default ECMP method and the simplist."

Alternativ dazu policy based routing.

Wenn man dann jetzt richtig faul ist, geht auch der transparent mode. Dann kann der Netgear drin bleiben. Ist aber meiner Meinung nach keine richtige Lösung.
Bitte warten ..
Mitglied: jompsi
17.02.2015, aktualisiert um 14:06 Uhr
Hallo

Schon, aber es ist auch so, dass wir beim WAN1 eine statische IP haben und wenn wir auf eine gewisse IP via FTP zugreifen, muss man über das WAN1 raus, weil sonst der Access verweigert wird.

Danke
Bitte warten ..
Mitglied: exellent
17.02.2015 um 13:59 Uhr
Hi Jompsi,

Load Balancing über mehrere Leitungen kein Problem. Als Sharing Algorithmen hast du da Folgendes zur Auswahl:
-Source IP Based
-Weighted Load Balance (Gewichtung einzelner WAN Ports)
-Spillover (Wenn zB. 2Mbit an WAN1 erreicht sind, werden die restlichen Sessions über WAN2 geroutet)
-Destination IP based

Um einzelne Protokolle an ein Interface festzunageln kannst du, wie exchange schon beschrieben hat, policy based routing nutzen. Dort kannst du dann sagen, dass Port 80 über WAN1 rausgehen soll, Port 53 über WAN2, Port 443 über Port4, usw. usw.

Falls du noch Fragen hast, schieß los.

VG
exellent
Bitte warten ..
Mitglied: jompsi
17.02.2015, aktualisiert um 14:15 Uhr
Dann kann ich also zuerst das Load Balancing einrichten und die Policies internal -> WAN1 -> ALL und internal -> WAN2 -> ALL.

Und um die einzelnen Protokolle an einen WAN Port zu binden, erstelle ich für diese je eine Policy und diese müssen einfach vor der ALL Policy an der Reihe sein. Ist das so korrekt?

Wenn ich nun HTTPS an WAN2 binde, kann es dann nicht sein, dass HTTPS bereits über WAN1 geht? Woher soll WAN1 wissen, dass HTTPS über WAN2 gehen soll, wenn in WAN1 die Policy ALL alles zulässt?

Vielen Dank und freundliche Grüsse
jompsi
Bitte warten ..
Mitglied: exellent
17.02.2015 um 14:23 Uhr
Du kannst auch eine Zone erstellen und WAN1 + WAN2 dort reinpacken dann musst du nicht zwei Policies erstellen (INT -> WAN1 und INT -> WAN2). Damit würdest du dann nur die Zone berechtigen (INT -> Zone_WAN).

Nein, sobald du eine "policy based route" erstellt hast, greift diese immer vor dem normalen Routing Prozess. Hast du in der Policy Based Route eingetragen, dass HTTPS über WAN2 rausgeht, dann wird das auch immer so passieren (Es sei denn WAN2 geht down, dann würde HTTPS automatisch über WAN1 geroutet).
Bitte warten ..
Mitglied: jompsi
17.02.2015 um 15:00 Uhr
Aha

Ihr müsst entschuldigen. Habe Router -> Static -> Policy Routes mit Policy & Objects -> Policy -> Policy verwechselt.

Hatte das Gefühl, ich muss das Protocol Binding in Policy & Objects -> Policy -> Policy konfigurieren.

Vielen Dank exchange und exellent

Noch eine Frage. Wie würdet Ihr das Load Balancing erstellen?
1) Router -> Static -> Settings -> ECMP Load Balancing Method
2) System -> Netwrok -> WAN Link Load Balancing
3) Router -> Static -> Static Routes -> die Routes manuell setzen

Bei der Variante 2 gibt es doch ein virtuelles Interface für WAN1 und WAN2 und dadurch kann ich kein Policy Based Routing durchführen, verstehe ich das richtig?
Bitte warten ..
Mitglied: exellent
17.02.2015, aktualisiert um 15:45 Uhr
Gut, dass du es gefunden hast

1.) Das bleibt dir überlassen. Wenn beide Leitungen die gleiche "Wertigkeit" haben, würde ich es einfach auf dem Default lassen (Source IP based). "Gebalancet" wird dann anhand der Client Source IP Adresse. Sprich IP x geht immer über WAN1, IP y geht immer über WAN2.

2.) WAN Link Load Balancing ist im Prinzip das was ich oben mit der Zone beschrieben habe. Natürlich kannst du kein Policy based Routing auf diese Zone (bzw. WAN Link Load Balancing) legen da dies ja beide Interface WAN1 und WAN2 enthält. Du musst die policy based Route dann entweder auf WAN1 oder WAN2 setzen.

3.) OK, wenn du WAN Link Load Balancing auf der GUI siehst, dann wirst du wahrscheinlich FortiOS 5.2.x installiert haben? Da ist es ziemlich einfach. Du wählst unter System -> Network -> WAN Link Load Balance die Interface Members WAN1 und WAN2 aus, trägst dessen Gateways ein und aktivierst nach Möglichkeit noch einen Health Check im gleichen Fenster. Danach trägst du unter Router -> Static -> Static Routes die Default Route 0.0.0.0/0.0.0.0 ein und wählst dort das Device "wan-load-balance" aus (!!) Fertig
Bitte warten ..
Mitglied: jompsi
17.02.2015 um 17:38 Uhr
Jawohl, auf der FortiGate, auf welche ich zurzeit Zugriff habe, ist FortiOS 5.2.2 installiert

Wenn ich wie in Punkt 3 das Interface wan-load-balance erstelle, kann ich dann trotzdem noch unter Policy Based Routes das WAN1 oder WAN2 Interface individuell auswählen?
Habe leider keine FortiGate zum testen und wenn ich eine Fortigate habe, habe ich keine zwei Internetleitungen, welche ich für Testzwecke verwenden kann, deshalb stelle ich diese Frage

Vielen vielen Dank exellent, für deine Geduld und Hilfe!!
Bitte warten ..
Mitglied: exellent
LÖSUNG 18.02.2015, aktualisiert um 09:28 Uhr
Hi Jompsi,

kein Problem, dafür ist die Community ja da

Ja genau, du kannst danach in den Policy based Routes auch einzeln das WAN1 und WAN2 Interface auswählen.

Fortinet hat eine Demo Kiste im Internet. Da kannst du dir ein paar Sachen angucken (Read only).

https://fortigate.com
User demo
Passwort demo
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Cisco IOS Load Balancing
gelöst Frage von PharITLAN, WAN, Wireless2 Kommentare

Hallo allerseits, bevor ich mir einen zweiten Internetanschluss anschaffe, wollte ich mal folgendes fragen: Mein Cisco 891er hat nur ...

Windows Netzwerk
Round Robin und Load Balancing
gelöst Frage von tukawi06Windows Netzwerk9 Kommentare

Nabend zusammen, ich experimentiere wieder etwas rum und habe mir mal 6 virtuelle Maschinen aufgesetzt. DC01 DC02 Terminal Server01 ...

DNS
Load Balancing - Webservice Server
gelöst Frage von eyetSolutionsDNS1 Kommentar

Hallo, ich habe 2 Webservice Server in einem Rechenzentrum: Server 1 - NAT Adresse = 1.1.1.1 Server 2 - ...

Flatrates
Load Balancing mit Ip Anschlüssen
Frage von GTRDRIVERFlatrates12 Kommentare

Hallo zusammen wir haben hier folgende Ausgangssituation: -VDSL50 Anschluss der Telekom - Router Fritzbox (lokales Netz (192.168.0.x) - Die ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

TK-Netze & Geräte
Fax im Betrieb
Frage von gansa28TK-Netze & Geräte6 Kommentare

Hallo zusammen, Endlich wurden meine Gebete Erhört und der Rechner meines Bekannten dem ich etwas unter die Arme greife, ...

Humor (lol)
Nerd Zeitschrift gesucht
Frage von 2SeitenHumor (lol)6 Kommentare

Hey Zusammen, Ich suche eine Zeitschrift bei der es ums technische Basteln geht. Pc zusammenschrauben, Arduino Projekte, Server Tipps ...