Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA5510 - Webtraffic über 2. DSL Leitung

Frage Netzwerke Router & Routing

Mitglied: Marc2106

Marc2106 (Level 1) - Jetzt verbinden

12.11.2008, aktualisiert 14.11.2008, 5606 Aufrufe, 4 Kommentare

ASA5510: Webtraffic vom sonstigen Traffic trennen

Guten Tag zusammen,

Vielleicht eine blöde Frage die ich hier zum Besten gebe...
...ist es möglich, mit einer ASA55xx Webtraffic über ein Interface z.B. mit 16K ADSL Leitung laufen zu lassen, und jeden anderen Traffic wie VPN,Mail,FTP etc. über eine andere, z.B. SDSL Leitung?

Dürfte doch eigentlich mit geschicktem Routing möglich sein, oder?
Was ist mit der Dual-ISP Funktionalität? How2?

Wäre echt nett wenn mir jemand bei diesem Thema weiterhelfen könnte. Ich wünsch euch noch nen netten Abend,

bis dann, Marc
Mitglied: Rafiki
13.11.2008 um 21:29 Uhr
Hallo Marc,

ich kenne keinen Trick wie man der ASA (PIX) eine zweite default Route beibringt und diese dann auch noch mit einer Policy belegen könnte. Leider ist die ASA deutlich mehr Firewall als Router.

Die ASA kann mehrere Kontexte haben, so etwas wie virtuelle Maschinen. Nur müssten diese Dann unterschiedliche IP Adressen haben. Das verlagert das Problem der Entscheidung welches Gateway der Traffic nehmen muss vor die ASA zum User hin. Das würde also das Problem auch nicht lösen.

Auf einem (Cisco) Router wäre das durchaus möglich, aber der Traffic würde nur nach Ports sortiert nicht wirklich nach http/https. Zumindest verstehe ich das in deiner Frage als Webtraffic. Das Stichwort hier ist dann PBR policy based routing.

Überlege dir mal ob du mit einem Proxyserver besser bedient bist. Ein Proxyserver könnte bevorzugt die eine DSL Leitung nutzen und zusätzlich auch unerwünschte Webseiten filtern und Virusscanner beinhalten.

Oder andersherum: Alles benutzt die eine DSL Leitung. Für VPN von extern wird die IP Adresse der zweiten DSL Leitung verwendet. Mit manuellen route einträgen zu VPN Partnern wird der Traffic auch über die zweite Leitung gelegt. Der Emailserver wird von Hand auf das Gateway der zweiten Leitung umgelenkt. Ich gebe zu das ist keine schöne Lösung aber vielleicht hilft es ja.

Da die ASA nun mal kein load balancer ist könntest du aber auch das Internet halbieren:
route ISP1 128.0.0.0 128.0.0.0 1.1.1.2
route ISP2 0.0.0.0 128.0.0.0 2.2.2.2
Aber auch das eben wieder nicht nach Webtraffic sortiert.

Cisco verkauft aber gerne noch weitere Kästchen, am liebsten redundant damit nix ausfallen kann und der Umsatz stimmt. 0

So genug geschrieben: Nimm einen einfachen Proxy.

Gruß Rafiki
Bitte warten ..
Mitglied: Marc2106
14.11.2008 um 17:49 Uhr
Hallo Rafiki,

erstmal vielen Dank für die Antwort. Ich bin gerade dabei mich mit PBR anzufreunden - wird die einzig saubere Lösung sein. Ist eigentlich das, was ich will. Also nochmal vielen Dank und einen schönen Abend noch.

Gruß Marc
Bitte warten ..
Mitglied: Rafiki
14.11.2008 um 21:17 Uhr
Ich habe heute im Büro noch mal kurz nachgesehen und den Bookmark gefunden den ich gestern schon Posten wollte. Die PIX / ASA FAQ von Cisco, erklärt unteranderem auch das PBR auf der ASA gegenwärtig nicht implementiert ist.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_it ...

Aber vieleicht geht es mit einem Trick doch:
http://forum.cisco.com/eforum/servlet/NetProf?page=netprof&forum=Se ...

Auszug:
route ISP1 0 0 1.1.1.2 //Default route pointing to ISP1 
route ISP2 0 0 2.2.2.2 2 //Default route with Metric 2 via ISP2 
 
static (ISP2,inside) tcp 0.0.0.0 80 0.0.0.0 80 
static (ISP2,inside) tcp 0.0.0.0 443 0.0.0.0 443 
 
sysopt noproxyarp inside 
 
nat (inside) 1 0 0 
global (ISP1) 1 interface 
global (ISP2) 1 interface 
Ich habe diesen Trick nicht ausprobiert.
Bitte warten ..
Mitglied: Marc2106
14.11.2008 um 21:51 Uhr
Hey Rafiki, danke für Deine Nachforschungen. Echt klasse. Das werde ich mal an der Testbox versuchen. Ergebnis poste ich. Wusste gar nicht, dass man im Routing den Port mit angeben kann. Was das IOS wohl davon hält? Testen wir's
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
gelöst CISCO C886VAJ-K9 an einem Telekom Annex J DSL 16000 RAM IP Anschluss (16)

Frage von nik-me zum Thema Router & Routing ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...

Erkennung und -Abwehr
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...