Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zywall dual WAN Routing Problem

Mitglied: tumichnix

tumichnix (Level 1) - Jetzt verbinden

10.02.2015 um 10:23 Uhr, 1745 Aufrufe, 9 Kommentare

Hallo zusammen,

vor ein paar Tagen wurde an einer "Zywall 110" eine zweite Internetleitung angebunden.

- WAN1 -> DHCP (KD (bright-mode))
- WAN2 -> STATIC (QSC)

Nun wird der gesamte Internetverkehr über WAN1 geleitet und mittels "Policy-Routes" werden bestimmte Ziel-IPs über WAN2 geschickt.
So weit, so gut.

Wenn ich nun allerdings versuche von außen (Handy) auf die statische IP (WAN2) zu zugreifen, sehe ich im Firewall-Log das die Pakete angenommen und mit "ACCESS FORWARD" abgesegnet werden. Das Problem ist nun aber das ich einfach keine Rückmeldung auf dem Handy erhalte (es sollte eigentlich der Login zur Firewall kommen). Meine Vermutung ist nun das die Firewall die Pakete an WAN1 zurück schickt.

Im folgenden mal die aktuelle Routing-Tabelle:

IP Address/Netmask Gateway IFace Metric Flags Persist
0.0.0.0/0 91.65.100.254 wan1 0 ASG -
91.65.100.0/24 0.0.0.0 wan1 0 ACG -
127.0.0.0/8 0.0.0.0 lo 0 ACG -
192.168.0.0/24 0.0.0.0 vlan6 0 ACG -
192.168.1.0/24 0.0.0.0 lan1 0 ACG -
192.168.2.0/24 0.0.0.0 lan2 0 ACG -
192.168.5.0/24 0.0.0.0 vlan5 0 ACG -
192.168.7.0/24 0.0.0.0 vlan7 0 ACG -
192.168.254.0/24 0.0.0.0 vlan1 0 ACG -
213.148.X.X/29 0.0.0.0 wan2 0 ACG -


Das ganze führt jetzt dazu das von außen keinerlei Dienste wie VPN oder SFTP mehr zugänglich sind. Überall wird die Verbindung angenommen aber die Clients erhalten einfach keine Rückmeldung.
Eigentlich sollte doch die Firewall selbst erkennen von welchem Interface die Anfrage kommt und entsprechend auch auf diesem eine Antwort geben. Oder habe ich einen entscheidenden Fehler in der Konfiguration / Denkweise?

Ich hoffe, Ihr könnt mir bei meinem Problem etwas auf die Sprünge helfen

Grüße Tumichnix
Mitglied: sk
10.02.2015 um 19:28 Uhr
Poste mal Deine Policy-Routen.

Gruß
sk
Bitte warten ..
Mitglied: transocean
10.02.2015 um 20:20 Uhr
Moin,

ich häng mich hier mal dran, weil ich ein ähnliches Problem mit meiner USG 50 habe. Allerdings betreibe ich die nicht mit Dual WAN sondern mit
virtuellen IP Adressen am WAN 1, um zwei Mailserver hinter der FW und das VPN (L2TP over IPSEC) zu betreiben. Richte ich nun für die beiden Mailserver jeweils ein Static NAT ein, erreiche ich mein Netzwerk hinter der USG 50 nicht mehr per VPN. Ich komme zwar noch auf die USG 50, aber dann ist Schluss.
Stelle ich von Static NAT auf Virtual Server um, klappt es mit der VPN Verbindung ohne Probleme. Die Routen habe ich gemäß Anleitung von Zywall eingerichtet.
Ich sehe gerade das Meer vor lauter Wellen nicht...

Gruß,

Uwe
Bitte warten ..
Mitglied: sk
10.02.2015 um 20:46 Uhr
@transocean: Bitte keine Threads kapern!
Teste mal das: https://www.studerus.ch/de/support/knowledgebase/detail/3573
Wenns nicht hilft, eigenen Thread aufmachen und die Konfig genau beschreiben.

Gruß
sk
Bitte warten ..
Mitglied: transocean
10.02.2015 um 21:07 Uhr
Sorry!

Der Link hat mein Problem gelöst. Danke!!

Gruß,

Uwe
Bitte warten ..
Mitglied: tumichnix
11.02.2015 um 09:30 Uhr
Hallo sk,

momentan gibt es nur eine Policy-Route:

index: 1
active: yes
auto-disable: no
description: servers-wan2
user: any
schedule: none
interface: any
tunnel: none
sslvpn: none
source: servers-wan2
destination: any
DSCP code: any
service: any
srcport: any
nexthop type: Gateway
nexthop: QSC-GATEWAY
nexthop state: Not support
auto destination: no
SNAT: outgoing-interface
DSCP marking: preserve
connectivity-check: no


Durch diese Policy-Route werden bestimmte Server über WAN2 geroutet. Funktioniert auch prima
Bitte warten ..
Mitglied: sk
11.02.2015 um 16:29 Uhr
Was verbirgt sich hinter dem Objekt "servers-wan2"?
Welche Einstellungen wurden unter Configuration>Network>NAT getätigt?
Welche Einstellungen wurden unter Configuration>Network>Interface>Trunk getätigt?
Bitte Screenshots von Maintenance>"Packet Flow Explore">"Routing Status" und Maintenance>"Packet Flow Explore">"SNAT Status" posten!
Bitte warten ..
Mitglied: tumichnix
12.02.2015 um 08:58 Uhr
Was verbirgt sich hinter dem Objekt "servers-wan2"?
Das ist eine Gruppe von Servern welche über "wan2" mit dem WWW kommunizieren.

Welche Einstellungen wurden unter Configuration>Network>NAT getätigt?
Keine.

Welche Einstellungen wurden unter Configuration>Network>Interface>Trunk getätigt?
Hier ist alles auf Default.
Screenshot: http://tumichnix.utapia.de/zywall/trunk.png

Bitte Screenshots von Maintenance>"Packet Flow Explore">"Routing Status" und Maintenance>"Packet
Flow Explore">"SNAT Status" posten!

Routing-Status:
http://tumichnix.utapia.de/zywall/rs-dr.png
http://tumichnix.utapia.de/zywall/rs-pr.png
http://tumichnix.utapia.de/zywall/rs-dwt.png
http://tumichnix.utapia.de/zywall/rs-mr.png

SNAT Status:
http://tumichnix.utapia.de/zywall/snat-rps.png
http://tumichnix.utapia.de/zywall/snat-ds.png

Hab nur Screenshots von den Bereichen gemacht wo auch etwas izu sehen ist.
Im großen und ganzen läuft die Firewall so ziemlich im Default-Modus.

Danke schon mal für deine Hilfe!
Bitte warten ..
Mitglied: sk
12.02.2015, aktualisiert um 18:23 Uhr
Hallo,

Zitat von tumichnix:
> Was verbirgt sich hinter dem Objekt "servers-wan2"?
Das ist eine Gruppe von Servern welche über "wan2" mit dem WWW kommunizieren.

Hmm. Eine etwas genauere Angabe (nämlich die IP-Adressen) hätte ich mir schon gewünscht. Dass sich dahinter nicht ein Pfund Mett verbirgt, hatte ich mir schon gedacht.
Ich interpretiere Deine Antwort so, dass es sich hierbei um Server innerhalb Deines Netzes (und damit um "private" IP-Adressen) handelt - nicht um solche, die aus Deiner Sicht im Internet stehen. Diese Interpretation würde sich auch mit der von Dir wiedergegebenen Policy-Route decken, denn dort ist das Objekt "servers-wan2" als Source-Objekt hinterlegt. Allerdings widerspricht diese Interpretation Deinem Eröffnungsposting, denn dort hast Du geschrieben, dass "mittels Policy-Routes ... bestimmte Ziel-IPs über WAN2 geschickt" werden.

Generell widersprechen die zuletzt geposteten Screenshots diametral Deinen bisherigen Kernaussagen. Es existiert offenkundig nicht nur eine Policyroute, sondern derer vier:
Die erste betrifft Traffic aus einem VPN-Tunnel. Der Sinn dessen ist mir nicht klar.
Die zweite sorgt dafür, dass sämtlicher Traffic, der durch die USG geroutet wird und dessen Ziel mit der USG nicht directly connected ist, über WAN2 geroutet wird. Im Moment läuft also entgegen Deiner obigen Angabe überhaupt kein von innen ins Internet initiierter Traffic über WAN1.
Die dritte und vierte Policyroute erzwingen nochmal explizit, dass Traffic aus dem gesamten Netz 192.168.0.0/24 (vlan6) an zwei bestimmte Ziel-IPs im Internet immer über WAN2 geroutet werden.

Zwischenanmerkung:
Die Policyrouten 3 und 4 sind wirkungslos, da Regel 2 bereits das gleiche bewirkt. Ich vermute, Du hast die 2. Policyroute zu Testzwecken reingenommen und Regel 3 und 4 geben den eigentlich gewünschten Regelungsinhalt wieder (wobei sich dieser auch von der oben wiedergebenen Policyroute unterscheidet).
Bedenke, dass ein Deaktivieren/Löschen der Regel 2 nicht wie von Dir gewünscht bewirkt, dass der Traffic, der nicht von den Policyrouten 3 und 4 erfasst wird, zwingend über WAN1 läuft. Vielmehr erfolgt hierfür ein sessionbasiertes gewichtetes Loadbalancing auf WAN1 und WAN2, da dann der Default-WAN-Trunk greift.

Aber zurück zum Thema:
Wenn auch in dem Konfigurationszustand der Screenshots keine Kommunikation von extern zum WAN2-Interface möglich ist, liegt dies entgegen Deiner Vermutung mit an Sicherheit grenzender Wahrscheinlichkeit nicht daran, dass der Antworttraffic fälschlicherweise über WAN1 zurückgeroutet wird. Eine diesbezügliche Fehlkonfiguration kann ich in den vorliegenden Screenshots nicht erblicken und einen so massiven Bug können wir auch ausschließen. Der wäre mir bekannt (und mir sind etliche bekannt ). Der Grund, weshalb es nicht wie gewünscht funktioniert, dürfte an anderer Stelle der Konfiguration zu suchen sein. Z.B. im Firewallregelwerk.

Wie geht es nun weiter? Man kann hier schwerlich helfen, wenn sich die Angaben so stark von der tatsächlichen Konfiguration unterscheiden. Bitte konfiguriere die USG so, wie Du glaubst, dass sie das von Dir gewünschte Verhalten zeigen müsste und lass alle Debuggingversuche aus der Konfig raus. Dann nochmal testen. Wenns nicht geht: Konfigfile in Gänze posten oder mir per PN schicken (ist ein Klartextfile; Kennwörter bitte ausiXXXsen). Dann den gewünschten Zustand posten und wiedergeben, was nicht wie gewünscht funktioniert. Dann können wir uns dem Problem methodisch nähern.

Gruß
sk
Bitte warten ..
Mitglied: tumichnix
12.02.2015 um 18:24 Uhr
Hallo sk,

Ich interpretiere Deine Antwort so, dass es sich hierbei um Server innerhalb Deines Netzes (und damit um "private"
IP-Adressen) handelt - nicht um solche, die aus Deiner Sicht im Internet stehen.
Korrekt.

Allerdings widerspricht diese Interpretation Deinem Eröffnungsposting, denn dort hast Du geschrieben, dass "mittels
"Policy-Routes" ... bestimmte Ziel-IPs über WAN2 geschickt" werden.
Damit meinte ich das die IPs aus der Gruppe "servers-wan2" nach Außen immer über WAN2 gehen sollen und nie über WAN1.

Generell widersprechen die zuletzt geposteten Screenshots diametral Deinen bisherigen Kernaussagen. Es existiert nicht nur eine
Policyroute, sondern derer vier:
Richtig, in der Zwischenzeit wurde noch etwas an der FW rumgetestet.

Die erste betrifft Traffic aus einem VPN-Tunnel. Der Sinn dessen ist mir nicht klar.
Ist nur ein Test gewesen!

Die zweite sorgt dafür, dass sämtlicher Traffic, der durch die USG geroutet wird und dessen Ziel mit der USG nicht
directly connected ist, über WAN2 geroutet wird. Im Moment läuft also entgegen Deiner obigen Angabe überhaupt kein
von innen ins Internet initiierter Traffic über WAN1.
Kann ich so leider nicht unterzeichnen. Alle Clients welche nicht expliziert per Policy-Route konfiguriert sind gehen definitiv auf WAN1 raus..

Die dritte und vierte Policyroute erzwingen nochmal explizit, dass Traffic aus dem gesamten Netz 192.168.0.0/24 (vlan6) an zwei
bestimmte Ziel-IPs im Internet immer über WAN2 geroutet werden sollen.
Richtig. Das ist auch so gewünscht und funktioniert auch.

Bedenke, dass ein Deaktivieren der Regel 2 nicht wie von Dir gewünscht bewirkt, dass der Traffic, der nicht von den
Policyrouten 3 und 4 erfasst wird, zwingend über WAN1 läuft. Vielmehr erfolgt hierfür ein sessionbasiertes
gewichtetes Loadbalancing auf WAN1 und WAN2, da dann der Default-WAN-Trunk greift.
Stimmt, Das wurde bis jetzt von mir noch überhaupt nicht beachtet. Danke für den Hinweis.

Aber zurück zum Thema:
Wenn auch in dem Konfigurationszustand der Screenshots keine Kommunikation von extern zum WAN2-Interface möglich ist, liegt
dies entgegen Deiner Vermutung mit an Sicherheit grenzender Wahrscheinlichkeit nicht daran, dass der Antworttraffic
fälschlicherweise über WAN1 zurückgeroutet wird. Eine diesbezügliche Fehlkonfiguration kann ich in den
vorliegenden Screenshots nicht erblicken und einen so massiven Bug können wir auch ausschließen. Der wäre mir
bekannt (und mir sind etliche bekannt ). Der Grund, weshalb es nicht wie gewünscht funktioniert, dürfte an anderer
Stelle der Konfiguration zu suchen sein. Z.B. im Firewallregelwerk.
Werde Morgen noch mal einen Screenshot der FW-Regeln posten!

Wie geht es nun weiter? Man kann hier schwerlich helfen, wenn sich die Angaben so stark von der tatsächlichen Konfiguration
unterscheiden. Bitte konfiguriere die USG so, wie Du glaubst, dass sie das von Dir gewünschte Verhalten zeigen müsste
und lass alle Debuggingversuche aus der Konfig raus. Dann nochmal testen.
Wird gemacht (Morgen).

Schon mal vielen Dank für dein Bemühen!

Grüße Tumichnix
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Dual WAN Router mit oder ohne Modem
Frage von istike2Router & Routing5 Kommentare

Hallo, bezüglich meiner Not (siehe hier) bin ich auf der Suche nach einem Annex A Router. Was ich also ...

LAN, WAN, Wireless
Kaufempfehlung: Dual WAN Router
gelöst Frage von FalkITLAN, WAN, Wireless8 Kommentare

Hi zusammen, ich muss bei einem Kunden zwei Internetanschlüsse so konfigurieren, dass sein Büro beim Ausfall eines Anschlusses online ...

LAN, WAN, Wireless
Dual-Wan Router hinter fritzboxen
Frage von Bene007LAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich habe folgendes vor: Kann das so funktionieren? Bzw. was muss ich ändern um mein Vorhaben zu ...

DSL, VDSL

Dual WAN mit "richtiger" Telefonanlage

Frage von IllusionFACTORYDSL, VDSL39 Kommentare

Hallo, zusammen, ich möchte gerne zwei MagentaEins-Anschlüsse (also VDSL 25) bündeln und in einen Profi-Switch (HP ProCurve 19") leiten, ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing18 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...