sfoerster
Goto Top

Policy Based Routing http und https am Bintec R232bw

Hallo an Alle,

wiedermal der bintec-Router.
Da mein Router leider kein Special Session Handling unterstützt muss ich den Weg über PBR gehen.

Ich möchte HTTP/HTTPS und alles was E-Mails sind über Anschluss A gehen lassen, den Rest soll der Load-Balancer entscheiden.

Ich habe im Firewall-Dialog für das WLan und das LAN eine gemeinsame Gruppe angelegt. Jetzt gehe ich davon aus dass ich eine Firewall-Richtlinie benötige, die die besagten Dienste am Anschluss B verweigert, richtig?

Ich möchte hier durch eine Fehlkonfiguration nicht das gesamte Netz lahmlegen.

Hoffe mir kann da jemand helfen =)


Grüße
Steve

PS: Bintec R232bw mit V.7.10 Rev. 1 (Patch 9) IPSec from 2012/04/24 00:00:00

Content-Key: 193109

Url: https://administrator.de/contentid/193109

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: dfritz
dfritz 22.10.2012 um 13:51:44 Uhr
Goto Top
Hi,

normalerweise kannste Du erweiteres Routing nutzen. Dort kannst Du Ziel Port (also 80, 443, 25, 110, 143) angeben und auch das Interface das genutzt werden soll. Zumindest ist das so in anderen Bintec Modellen möglich. Ich nutze dazu allerdings die Konsole nicht das Webinterface.
Mitglied: SFoerster
SFoerster 22.10.2012 um 15:31:55 Uhr
Goto Top
Hallo,

kannst du mir da bitte ein Beispiel geben?
Ich habe halt den Standarddialog in dem ich angeben kann:

Routentyp
Ziel-IP-Adresse/Netzmaske
Schnittstelle
Netzwerktyp
Lokale IP-Adresse
Metrik
Erweiterte Routenparameter
Quellschnittstelle
Quell-IP-Adresse/Netzmaske
Layer 4-Protokoll
Quellport Port bis Port
Zielport Port bis Port
DSCP-/TOS-Wert
Modus


Quellschnittstelle wäre mein Lan, Zieladresse wäre dann 0.0.0.0, Schnittstelle wäre der Anschluss auf den es gehen soll? Und Protokoll dann TCP mit Ports für http(s)

Richtig?
Mitglied: dfritz
dfritz 22.10.2012 aktualisiert um 15:39:54 Uhr
Goto Top
Hi,

genau so würde ich es machen, wie Du es beschrieben hast. "WAN without transit network" auswählen und das Interface angeben wo die Pakete dein Netz verlassen sollen - nicht das Load-Balancer Interface.

Aber wie gesagt - du findest das unter IP / Routing / ADDEXT. Ich hoffe das hilft Dir weiter. Sollte aber das machen, was Du möchtest.
Mitglied: SFoerster
SFoerster 22.10.2012 um 15:57:24 Uhr
Goto Top
[URL=http://www.pic-upload.de/view-16566769/Router.jpg.html][IMG]http://www7.pic-upload.de/thumb/22.10.12/o2ukl75m1sh7.jpg[/IMG][/URL]

So in etwa?

Schnittstelle ist mein DSL-Anschluss

Quellschnittstelle ist eine Bridge zwischen LAN und WLAN und die Netzadresse der Bridge ist die 192.168.222.0

Solch eine Route müsste ich dann für alle Ports angeben die dediziert über den DSLer gehen sollen?

Grüße
Mitglied: SFoerster
SFoerster 23.10.2012 um 07:38:16 Uhr
Goto Top
[URL=http://www.pic-upload.de/view-16577589/Routen.jpg.html][IMG]http://www7.pic-upload.de/thumb/23.10.12/o1bpdbvkki1f.jpg[/IMG][/URL]

So sieht es jetzt aus und funktioniert noch nicht.

Bridge_BR0 ist eine Verbindung zwischen Lan und WLan, am LAN_EN5-0 hängt der LTE und an WAN_WIZ ( Wahnwitz -.- ) ist das DSL.
Die beiden oberen Routen für WAN_WIZ sind die erweiterten Standardrouten für die HTTP-Ports
Mitglied: dfritz
dfritz 23.10.2012 um 08:48:07 Uhr
Goto Top
Guten Morgen,

ich kann leider das erste Bild nicht sehen. Wieso hast Du eine Bridge eingerichtet ? Ein normales Routing hätte es doch auch getan. Ich denke aber das hat nichts mit dem eigentlichen Ziel zutun.

Schick mir doch bitte nochmal die Fotos für die erweiterten Standartrouten. Das LTE ist ein eigenständiger Router ?
Mitglied: SFoerster
SFoerster 23.10.2012 um 08:59:04 Uhr
Goto Top
Guten Morgen =)

[URL=http://www.pic-upload.de/view-16577876/Router.jpg.html][IMG]http://www10.pic-upload.de/thumb/23.10.12/zn83rzkuqup.jpg[/IMG][/URL]

Nochmal das erste Bildchen.

Die Bridge hat ein Vorgänger eingerichtet. Prinzipiell soll sie wohl das WLAN und das LAN verbinden, wobei das WLAN nicht genutzt wird (werden soll) und dementsprechend könnte ich die auch ausschalten. Praktisch sollte sie ja aber auch nicht stören, oder?


LTE ist eine Vodafone Easybox am EN05 und DSL ist direkt am Bintec. Er wählt das DSL selber an, für das DSL macht das die Easybox.
Mitglied: dfritz
dfritz 23.10.2012 um 09:20:05 Uhr
Goto Top
Oki. Diesmal kann ich es sehen.

Der Quellport muss beliebig sein. Wenn Du nur Port 80 angibst, dann reagiert er nur auf Anfragen von deinem Rechner die von Port 80 auf Port 80 gehen. Meist werden aber Ports im hohen 5 Stelligen Bereich als Quellport genutzt.

Mit Quellschnittstelle sagst Du ja, das die Sachen von deinem WLAN kommen. Nicht vergessen damit dann auch zu testen face-smile

Ansonsten sieht das schon sehr gut aus.
Mitglied: SFoerster
SFoerster 23.10.2012 um 09:35:25 Uhr
Goto Top
Herzlichen Dank!

Das war exakt was mir gefehlt hat. Ich bin halt eher begabter Dilettant als Fachmann -.-
Da stellt sich mir aber die Frage weshalb der Quellport nicht 80 ist! Dast du da evtl eine Quelle für mich?

Und noch einmal: Vielen herzlichen Dank =) Kann ich mich endlich wieder in meiner IDE verstecken... An die IPSEC Sache will ich vorerst nicht denken xD
Mitglied: goscho
goscho 23.10.2012 um 09:40:18 Uhr
Goto Top
Moin Steve,

ich möchte dich bitten, die Funktion zum Einfügen von Bildern im Beitrag zu nutzen.
Hier steht, wie's geht face-wink
Mitglied: dfritz
dfritz 23.10.2012 um 09:43:30 Uhr
Goto Top
Bitte ! Freut mich das es geklappt hat.

Eine Quelle habe ich nicht. Aber in der Netzwerkkommunikation ist der Quellport recht uninteressant - wichtig ist immer der Zielport - hierauf horcht ja der Webserver oder ähnliches. Die Quellports vergibt dein Clientrechner dynamisch.

IPSEC mit der Bintec ist genial. Ich kenne kein Gerät das so kompatible zu anderen Gegenstellen ist wie die Bintec. Wichtig dabei ist immer das Deine Bintec und die Gegenstelle exakt die gleichen Werte nutzen. Dann noch eine Virtuelle IP und ein wenig NAT und die Sache läuft rund face-wink
Mitglied: SFoerster
SFoerster 23.10.2012 um 10:05:50 Uhr
Goto Top
Hallo Goscho,

Danke für den Link =) Werde ich mir zu Herzen nehmen!

@dfritz

Bisher wird hier halt das VPN einfach durchgereicht, soll heissen es gibt NAT-Regeln die die betreffenden Ports (1723 und GRE) an den DC weiterreichen und an dem findet dann die Authentifizierung statt. Ich hätte halt gern dass die Auth schon am Router stattfindet. Und da bin ich auf IPSEC gestossen. Damit muss ich mich aber erstmal in Ruhe auseinandersetzen. Ist ja denk ich mal schon ein höherer Aufwand.

Weiterhin wollte ich das WLAN anders absichern. Vielleicht mit einem Radius-Server oder Ähnlichem... Zukunftsmusik, wie gesagt.


Bis die Tage dann =)