Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Eingehenden und ausgehenden Datenverkehr über zwei WAN Anschlüsse trennen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Twinrix

Twinrix (Level 1) - Jetzt verbinden

30.10.2013, aktualisiert 23:44 Uhr, 2277 Aufrufe, 6 Kommentare

Hallo zusammen,

aktuell ist mein LAN über einen KDG Anschluss mit dem Rest der Welt verbunden.

Der Aufbau ist dabei: Internet --> KDG Modem / Router --> Endian Firewall (Community 2.5.1) --> LAN (Server + Clients)

Im Internet steht noch ein angemieteter virtueller Server, der für den Exchange im LAN als Relay dient (genau genommen ist der Endian Mailserver auch noch dazwischen). Läuft auch alles wunderbar.

Ich habe allerdings zunehmend das Problem, dass die dynamischen KDG IPs bei bestimmten reputationsbasierten Webfiltern eher schlecht gescored werden. Das führt dazu, dass z.B. Outlook Web Access oder Remote Web Workplace aus bestimmten Netzen nicht zu erreichen sind (da der A Eintrag der Domain auf eine dynamische KDG IP zeigt).

Jetzt habe ich hier noch einen (langsamen) DSL Zugang mit statischer IP, bei dem das Filterproblem nicht besteht.

Folgendes ist mein Wunschszenario:

Domain abc.de --> A Eintrag auf die statische IP Adresse des DSL Zugangs, so dass über die abc.de ein Zugriff auf OWA und RWW möglich ist (eingehender Datenverkehr). Internetaufrufe aus dem LAN (ausgehender Datenverkehr) sollen aus Performancegründen wie bisher über den KDG Zugang laufen, auch der Mailaustausch.

Nun funktioniert es offensichtlich leider nicht, den DSL Router einfach neben den KDG Router vor die Endian zu hängen. Der DSL Router ist zwar aus dem Internet erreichbar, das Port-Forwarding DSL-Router --> Endian läuft aber (im Gegensatz zum Port-Forwarding KDG-Router --> Endian) ins Leere. Möglicherweise weil in der Endian das Standard Gateway auf den KDG Router zeigt?! Würde ein zusätzlicher Uplink in der RED ZONE funktionieren?

Wie kann ich den DSL Zugang integrieren, damit o.g. Szenario funktioniert?

Bin für jeden Tip dankbar.

VG

Eike
Mitglied: tkr104
31.10.2013 um 08:07 Uhr
Moin,

Du suchst nach Policy Based Routing, die Suchfunktion wird dein Freund sein.

VG,

Thomas
Bitte warten ..
Mitglied: aqui
31.10.2013, aktualisiert um 09:13 Uhr
Ein Dual Port WAN Router wie Cisco 886va oder Draytek 29xx löst das Problem im Handumdrehen !
Bedenke allerdings immer das du keine Flow basierte Trennung hinbekommst wenn du mit NAT Routern arbeitest ! Also keine per Paket Trennung.
Das ist auch klar wenn man sich die Grundmechanismen von TCP/IP mal vor Augen führt.
Am Zielhost kommen deine lokalen Pakete durch NAT (Adress Translation) am Router immer mit der öffentlichen Absender IP des Routers an.
Der Zielhost wird dann natürlich auch alle Pakete einer Session zwingend immer an diese IP Adresse zurücksenden. Würdest du das verändern, kommt es zu einen IP Adress Mismatch in der Session was zum sofortigen Abbruch selbiger führt.
Du kannst also immer nur ein sessionbasiertes PBR (Policy Based Routing) machen, was die obigen Systeme problemlos erledigen. Ob die Endian PBR kann ist unbekannt. Generell können Firewalls wie z.B. pfsense_/_Monowall PBR. Deine restliche verwendete HW kann generell kein PBR deshalb muss dein Ansatz damit schon im Grundsatz scheitern, was er ja auch tut wie man oben lesen kann.
Bitte warten ..
Mitglied: Twinrix
31.10.2013 um 10:15 Uhr
Hallo,

danke für die Rückmeldungen.

Folgendes habe ich gemacht & funktioniert:

1. Uplink in der Firewall (Gateway = KDG Router) aufgebaut wie folgt:

Internet --> Kabel Deutschland Router (Port Forwarding) --> Endian FW --> LAN
dynamische WAN-IP --> 192.168.1.1 --> 192.168.1.2 --> 192.168.0.x

Dieser Uplink ist als Hauptuplink aktiviert, so dass aller Traffic aus dem LAN in Richtung Internet über den KDG Anschluss läuft (kein Balancing).

Mit einer weiteren Netzwerkkarte einen zusätzlichen Uplink (Gateway = DSL Router) in der FW eingerichtet:

Internet --> DSL Router (Port Forwarding) --> Endian FW --> LAN
statische WAN IP --> 192.168.2.1 --> 192.168.2.2 --> 192.168.0.x

Alles was an der öffentlichen IP des DSL Routers ankommt wird über den 2. Uplink ins LAN gerouted.

Danke,

Eike
Bitte warten ..
Mitglied: aqui
31.10.2013 um 12:48 Uhr
So gehts natürlich auch...aber ohne ein PBR Routing wärst du dann vom Endgerät und dessen Gateway Eintrag abhängig !
Beispiel:
Du kommst rein über die öffentliche IP des DSL Routers (der dann vom remoten Absender die Ziel IP ist) wirst über die Firewall auf das gemeinsame LAN 192.168.0.x /24 auf ein Endgerät dort geroutet was soweit ja funktioniert.
Hat dieses Endgerät jetzt aber über die FW den KDG Router als default Gateway, dann kommt am vorigen Absender ein Antwortpaket mit einer anderen Absender IP an nämlich der des KDG Routers.
Der Absender erwartet aber ein Antwortpaket mit der DSL Router IP und verwirft sofort die Session. So kann das also niemals funktionieren. Ausnahme natürlich du hast in der FW eine PBR Regel die diesen Traffic trotz Gateway Eintrag auf den KDG Router dann als next Hop an den DSL Router sendet.
Dann funktioniert es wieder. Die Endian muss also zwingend irgendeine Art von PBR machen.
Bitte warten ..
Mitglied: Twinrix
31.10.2013 um 13:29 Uhr
Hallo aqui,

danke für Dein Feedback - ich kenne mich in den Tiefen von TCP/IP Routing wahrlich nicht aus

Server und Clients im LAN haben als Standardgateway die FW.

Ich vermute, dass die FW aufgrund der jetzigen Konfiguration mit 2 WAN Schnittstellen (129.168.1.x und 192.168.2.x) die Antwort aus dem LAN - bspw. vom IIS - wieder an das Gateway / den Router schickt, von dem die Anfrage her kam.

Zumindest sind jetzt die Dienste ansprechbar - auch aus Netzen, aus denen es vorher über den KDG Router nicht ging.

VG

Eike
Bitte warten ..
Mitglied: aqui
01.11.2013 um 10:02 Uhr
OK, wenns jetzt irgendwie geht ist ja gut....
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
EdgeRouter Lite - WAN und zweites Netzwerk voneinander trennen. (2)

Frage von Neyliz zum Thema Router & Routing ...

Router & Routing
Welche pfsense Version für Dual-Wan Router mit APU2C4 installieren (5)

Frage von Roland30 zum Thema Router & Routing ...

Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

LAN, WAN, Wireless
Software für Backup oder Datensynchronisation über WAN gesucht (4)

Frage von Rubiks zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...

Peripheriegeräte
Wlan stört Funkmaus (11)

Frage von Falaffel zum Thema Peripheriegeräte ...

Peripheriegeräte
gelöst USB Festplatte verliert Laufwerksbuchstabe (9)

Frage von cese4321 zum Thema Peripheriegeräte ...