Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

FortiGate Internet Load Balancing - Kann man Protocol Binding einrichten?

Frage Netzwerke Router & Routing

Mitglied: jompsi

jompsi (Level 1) - Jetzt verbinden

17.02.2015, aktualisiert 18.02.2015, 1425 Aufrufe, 9 Kommentare, 4 Danke

Hallo zusammen

Wir haben im Betrieb zurzeit einen Netgear SRX5308 Router mit zwei ISP Anschlüssen. Dort ist Load Balancing konfiguriert und gewisse Protokolle haben wir auf WAN1 gebunden(Protocol Binding). Grund dafür ist, dass HTTPS Sessions nicht während der Sitzung auf das WAN2 wechseln und man sich wieder authentifizieren muss.

Jetzt bin ich dabei die FortiGate 60D anzuschauen, weil wir haben ein Branch Office und mit diesem möchten wir ein IPSec Site2Site VPN einrichten. Im Branch Office würde ich auch gerne eine FortiGate einbauen.

Ich muss mir nun aber sicher sein, dass ich mit der FortiGate das aktuelle Netzwerk genauso weiter betreiben kann, wie ich es bis jetzt mit dem Netgear Router betrieben habe. Leider finde ich im Internet nicht viel zu FortiGate und Protocol Binding.

Könnt Ihr mir sagen, ob das möglich ist? Load Balancing zwischen WAN1 und WAN2 aber spezifische Protokolle an WAN1 oder WAN2 zu binden?

Was ich gefunden habe:
http://nullhaus.com/2014/02/fortigate-wan-load-balancing/
http://kb.fortinet.com/kb/documentLink.do?popup=true&externalID=103 ...
https://www.youtube.com/watch?v=P0oshKYvFY8

Was haltet ihr davon?

Unser Hauptstandort hat ca. 20 Mitarbeiter und das Branch Office ca. 3 - 5.

Vielen Dank und Grüsse
jompsi
Mitglied: exchange
17.02.2015 um 13:42 Uhr
Hallo,
aus deinem 1. Link:
"We’ll start from the top with Source IP based, which assigns wan interfaces based on the source IP. Once an internal host makes a connection across the wan interface, all subsequent sessions will traverse the same wan interface. This is the default ECMP method and the simplist."

Alternativ dazu policy based routing.

Wenn man dann jetzt richtig faul ist, geht auch der transparent mode. Dann kann der Netgear drin bleiben. Ist aber meiner Meinung nach keine richtige Lösung.
Bitte warten ..
Mitglied: jompsi
17.02.2015, aktualisiert um 14:06 Uhr
Hallo

Schon, aber es ist auch so, dass wir beim WAN1 eine statische IP haben und wenn wir auf eine gewisse IP via FTP zugreifen, muss man über das WAN1 raus, weil sonst der Access verweigert wird.

Danke
Bitte warten ..
Mitglied: exellent
17.02.2015 um 13:59 Uhr
Hi Jompsi,

Load Balancing über mehrere Leitungen kein Problem. Als Sharing Algorithmen hast du da Folgendes zur Auswahl:
-Source IP Based
-Weighted Load Balance (Gewichtung einzelner WAN Ports)
-Spillover (Wenn zB. 2Mbit an WAN1 erreicht sind, werden die restlichen Sessions über WAN2 geroutet)
-Destination IP based

Um einzelne Protokolle an ein Interface festzunageln kannst du, wie exchange schon beschrieben hat, policy based routing nutzen. Dort kannst du dann sagen, dass Port 80 über WAN1 rausgehen soll, Port 53 über WAN2, Port 443 über Port4, usw. usw.

Falls du noch Fragen hast, schieß los.

VG
exellent
Bitte warten ..
Mitglied: jompsi
17.02.2015, aktualisiert um 14:15 Uhr
Dann kann ich also zuerst das Load Balancing einrichten und die Policies internal -> WAN1 -> ALL und internal -> WAN2 -> ALL.

Und um die einzelnen Protokolle an einen WAN Port zu binden, erstelle ich für diese je eine Policy und diese müssen einfach vor der ALL Policy an der Reihe sein. Ist das so korrekt?

Wenn ich nun HTTPS an WAN2 binde, kann es dann nicht sein, dass HTTPS bereits über WAN1 geht? Woher soll WAN1 wissen, dass HTTPS über WAN2 gehen soll, wenn in WAN1 die Policy ALL alles zulässt?

Vielen Dank und freundliche Grüsse
jompsi
Bitte warten ..
Mitglied: exellent
17.02.2015 um 14:23 Uhr
Du kannst auch eine Zone erstellen und WAN1 + WAN2 dort reinpacken dann musst du nicht zwei Policies erstellen (INT -> WAN1 und INT -> WAN2). Damit würdest du dann nur die Zone berechtigen (INT -> Zone_WAN).

Nein, sobald du eine "policy based route" erstellt hast, greift diese immer vor dem normalen Routing Prozess. Hast du in der Policy Based Route eingetragen, dass HTTPS über WAN2 rausgeht, dann wird das auch immer so passieren (Es sei denn WAN2 geht down, dann würde HTTPS automatisch über WAN1 geroutet).
Bitte warten ..
Mitglied: jompsi
17.02.2015 um 15:00 Uhr
Aha

Ihr müsst entschuldigen. Habe Router -> Static -> Policy Routes mit Policy & Objects -> Policy -> Policy verwechselt.

Hatte das Gefühl, ich muss das Protocol Binding in Policy & Objects -> Policy -> Policy konfigurieren.

Vielen Dank exchange und exellent

Noch eine Frage. Wie würdet Ihr das Load Balancing erstellen?
1) Router -> Static -> Settings -> ECMP Load Balancing Method
2) System -> Netwrok -> WAN Link Load Balancing
3) Router -> Static -> Static Routes -> die Routes manuell setzen

Bei der Variante 2 gibt es doch ein virtuelles Interface für WAN1 und WAN2 und dadurch kann ich kein Policy Based Routing durchführen, verstehe ich das richtig?
Bitte warten ..
Mitglied: exellent
17.02.2015, aktualisiert um 15:45 Uhr
Gut, dass du es gefunden hast

1.) Das bleibt dir überlassen. Wenn beide Leitungen die gleiche "Wertigkeit" haben, würde ich es einfach auf dem Default lassen (Source IP based). "Gebalancet" wird dann anhand der Client Source IP Adresse. Sprich IP x geht immer über WAN1, IP y geht immer über WAN2.

2.) WAN Link Load Balancing ist im Prinzip das was ich oben mit der Zone beschrieben habe. Natürlich kannst du kein Policy based Routing auf diese Zone (bzw. WAN Link Load Balancing) legen da dies ja beide Interface WAN1 und WAN2 enthält. Du musst die policy based Route dann entweder auf WAN1 oder WAN2 setzen.

3.) OK, wenn du WAN Link Load Balancing auf der GUI siehst, dann wirst du wahrscheinlich FortiOS 5.2.x installiert haben? Da ist es ziemlich einfach. Du wählst unter System -> Network -> WAN Link Load Balance die Interface Members WAN1 und WAN2 aus, trägst dessen Gateways ein und aktivierst nach Möglichkeit noch einen Health Check im gleichen Fenster. Danach trägst du unter Router -> Static -> Static Routes die Default Route 0.0.0.0/0.0.0.0 ein und wählst dort das Device "wan-load-balance" aus (!!) Fertig
Bitte warten ..
Mitglied: jompsi
17.02.2015 um 17:38 Uhr
Jawohl, auf der FortiGate, auf welche ich zurzeit Zugriff habe, ist FortiOS 5.2.2 installiert

Wenn ich wie in Punkt 3 das Interface wan-load-balance erstelle, kann ich dann trotzdem noch unter Policy Based Routes das WAN1 oder WAN2 Interface individuell auswählen?
Habe leider keine FortiGate zum testen und wenn ich eine Fortigate habe, habe ich keine zwei Internetleitungen, welche ich für Testzwecke verwenden kann, deshalb stelle ich diese Frage

Vielen vielen Dank exellent, für deine Geduld und Hilfe!!
Bitte warten ..
Mitglied: exellent
LÖSUNG 18.02.2015, aktualisiert um 09:28 Uhr
Hi Jompsi,

kein Problem, dafür ist die Community ja da

Ja genau, du kannst danach in den Policy based Routes auch einzeln das WAN1 und WAN2 Interface auswählen.

Fortinet hat eine Demo Kiste im Internet. Da kannst du dir ein paar Sachen angucken (Read only).

https://fortigate.com
User demo
Passwort demo
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Cisco IOS Load Balancing (2)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Internet Domänen
gelöst Load-Balancing über eine Domain, ist das möglich? (6)

Frage von D1Ck3n zum Thema Internet Domänen ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...