Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke LAN, WAN, Wireless

GELÖST

Eingehenden und ausgehenden Datenverkehr über zwei WAN Anschlüsse trennen

Mitglied: Twinrix

Twinrix (Level 1) - Jetzt verbinden

30.10.2013, aktualisiert 23:44 Uhr, 2339 Aufrufe, 6 Kommentare

Hallo zusammen,

aktuell ist mein LAN über einen KDG Anschluss mit dem Rest der Welt verbunden.

Der Aufbau ist dabei: Internet --> KDG Modem / Router --> Endian Firewall (Community 2.5.1) --> LAN (Server + Clients)

Im Internet steht noch ein angemieteter virtueller Server, der für den Exchange im LAN als Relay dient (genau genommen ist der Endian Mailserver auch noch dazwischen). Läuft auch alles wunderbar.

Ich habe allerdings zunehmend das Problem, dass die dynamischen KDG IPs bei bestimmten reputationsbasierten Webfiltern eher schlecht gescored werden. Das führt dazu, dass z.B. Outlook Web Access oder Remote Web Workplace aus bestimmten Netzen nicht zu erreichen sind (da der A Eintrag der Domain auf eine dynamische KDG IP zeigt).

Jetzt habe ich hier noch einen (langsamen) DSL Zugang mit statischer IP, bei dem das Filterproblem nicht besteht.

Folgendes ist mein Wunschszenario:

Domain abc.de --> A Eintrag auf die statische IP Adresse des DSL Zugangs, so dass über die abc.de ein Zugriff auf OWA und RWW möglich ist (eingehender Datenverkehr). Internetaufrufe aus dem LAN (ausgehender Datenverkehr) sollen aus Performancegründen wie bisher über den KDG Zugang laufen, auch der Mailaustausch.

Nun funktioniert es offensichtlich leider nicht, den DSL Router einfach neben den KDG Router vor die Endian zu hängen. Der DSL Router ist zwar aus dem Internet erreichbar, das Port-Forwarding DSL-Router --> Endian läuft aber (im Gegensatz zum Port-Forwarding KDG-Router --> Endian) ins Leere. Möglicherweise weil in der Endian das Standard Gateway auf den KDG Router zeigt?! Würde ein zusätzlicher Uplink in der RED ZONE funktionieren?

Wie kann ich den DSL Zugang integrieren, damit o.g. Szenario funktioniert?

Bin für jeden Tip dankbar.

VG

Eike
Mitglied: tkr104
31.10.2013 um 08:07 Uhr
Moin,

Du suchst nach Policy Based Routing, die Suchfunktion wird dein Freund sein.

VG,

Thomas
Bitte warten ..
Mitglied: aqui
31.10.2013, aktualisiert um 09:13 Uhr
Ein Dual Port WAN Router wie Cisco 886va oder Draytek 29xx löst das Problem im Handumdrehen !
Bedenke allerdings immer das du keine Flow basierte Trennung hinbekommst wenn du mit NAT Routern arbeitest ! Also keine per Paket Trennung.
Das ist auch klar wenn man sich die Grundmechanismen von TCP/IP mal vor Augen führt.
Am Zielhost kommen deine lokalen Pakete durch NAT (Adress Translation) am Router immer mit der öffentlichen Absender IP des Routers an.
Der Zielhost wird dann natürlich auch alle Pakete einer Session zwingend immer an diese IP Adresse zurücksenden. Würdest du das verändern, kommt es zu einen IP Adress Mismatch in der Session was zum sofortigen Abbruch selbiger führt.
Du kannst also immer nur ein sessionbasiertes PBR (Policy Based Routing) machen, was die obigen Systeme problemlos erledigen. Ob die Endian PBR kann ist unbekannt. Generell können Firewalls wie z.B. pfsense_/_Monowall PBR. Deine restliche verwendete HW kann generell kein PBR deshalb muss dein Ansatz damit schon im Grundsatz scheitern, was er ja auch tut wie man oben lesen kann.
Bitte warten ..
Mitglied: Twinrix
31.10.2013 um 10:15 Uhr
Hallo,

danke für die Rückmeldungen.

Folgendes habe ich gemacht & funktioniert:

1. Uplink in der Firewall (Gateway = KDG Router) aufgebaut wie folgt:

Internet --> Kabel Deutschland Router (Port Forwarding) --> Endian FW --> LAN
dynamische WAN-IP --> 192.168.1.1 --> 192.168.1.2 --> 192.168.0.x

Dieser Uplink ist als Hauptuplink aktiviert, so dass aller Traffic aus dem LAN in Richtung Internet über den KDG Anschluss läuft (kein Balancing).

Mit einer weiteren Netzwerkkarte einen zusätzlichen Uplink (Gateway = DSL Router) in der FW eingerichtet:

Internet --> DSL Router (Port Forwarding) --> Endian FW --> LAN
statische WAN IP --> 192.168.2.1 --> 192.168.2.2 --> 192.168.0.x

Alles was an der öffentlichen IP des DSL Routers ankommt wird über den 2. Uplink ins LAN gerouted.

Danke,

Eike
Bitte warten ..
Mitglied: aqui
31.10.2013 um 12:48 Uhr
So gehts natürlich auch...aber ohne ein PBR Routing wärst du dann vom Endgerät und dessen Gateway Eintrag abhängig !
Beispiel:
Du kommst rein über die öffentliche IP des DSL Routers (der dann vom remoten Absender die Ziel IP ist) wirst über die Firewall auf das gemeinsame LAN 192.168.0.x /24 auf ein Endgerät dort geroutet was soweit ja funktioniert.
Hat dieses Endgerät jetzt aber über die FW den KDG Router als default Gateway, dann kommt am vorigen Absender ein Antwortpaket mit einer anderen Absender IP an nämlich der des KDG Routers.
Der Absender erwartet aber ein Antwortpaket mit der DSL Router IP und verwirft sofort die Session. So kann das also niemals funktionieren. Ausnahme natürlich du hast in der FW eine PBR Regel die diesen Traffic trotz Gateway Eintrag auf den KDG Router dann als next Hop an den DSL Router sendet.
Dann funktioniert es wieder. Die Endian muss also zwingend irgendeine Art von PBR machen.
Bitte warten ..
Mitglied: Twinrix
31.10.2013 um 13:29 Uhr
Hallo aqui,

danke für Dein Feedback - ich kenne mich in den Tiefen von TCP/IP Routing wahrlich nicht aus

Server und Clients im LAN haben als Standardgateway die FW.

Ich vermute, dass die FW aufgrund der jetzigen Konfiguration mit 2 WAN Schnittstellen (129.168.1.x und 192.168.2.x) die Antwort aus dem LAN - bspw. vom IIS - wieder an das Gateway / den Router schickt, von dem die Anfrage her kam.

Zumindest sind jetzt die Dienste ansprechbar - auch aus Netzen, aus denen es vorher über den KDG Router nicht ging.

VG

Eike
Bitte warten ..
Mitglied: aqui
01.11.2013 um 10:02 Uhr
OK, wenns jetzt irgendwie geht ist ja gut....
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Zwei Netzwerke mit zwei WAN-Anschlüssen auf MikroTIK CCR konfigurieren
Frage von ConnyHoffmannRouter & Routing9 Kommentare

Hallo zusammen, Ich stehe vor einem Problem, welches mich langsam ziemlich verzweifeln lässt Ich möchte auf einem Gerät (CCR ...

Netzwerkgrundlagen
Client auf einem Switch mit zwei WAN
gelöst Frage von istike2Netzwerkgrundlagen5 Kommentare

Hallo, ich habe hier zu Hause zwei WAN-Anschlüsse (DSL 10.1.2.0 bzw. LTE 192.168.123.0) Da ich zwei Clients Internetzugang über ...

Router & Routing
Zwei lokale IPs über bestimmten WAN Anschluss routen - Digitialisierungsbox
Frage von VanillakopRouter & Routing13 Kommentare

Hallo, ich habe eine Digitalisierungsbox Smart von der Telekom (Hersteller ist bintec). An der Box sind zwei ADSL Leitungen ...

DSL, VDSL
Zwei mal DSL-Anschluss Dual-WAN Router Konzeption
gelöst Frage von zeroblue2005DSL, VDSL13 Kommentare

Hallo Zusammen, folgendes habe ich vor umzusetzen und würde mich über eure Meinung freuen, da ich in diesem Bereich ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...