Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke LAN, WAN, Wireless

Zywall dual WAN Routing Problem

Mitglied: tumichnix

tumichnix (Level 1) - Jetzt verbinden

10.02.2015 um 10:23 Uhr, 1623 Aufrufe, 9 Kommentare

Hallo zusammen,

vor ein paar Tagen wurde an einer "Zywall 110" eine zweite Internetleitung angebunden.

- WAN1 -> DHCP (KD (bright-mode))
- WAN2 -> STATIC (QSC)

Nun wird der gesamte Internetverkehr über WAN1 geleitet und mittels "Policy-Routes" werden bestimmte Ziel-IPs über WAN2 geschickt.
So weit, so gut.

Wenn ich nun allerdings versuche von außen (Handy) auf die statische IP (WAN2) zu zugreifen, sehe ich im Firewall-Log das die Pakete angenommen und mit "ACCESS FORWARD" abgesegnet werden. Das Problem ist nun aber das ich einfach keine Rückmeldung auf dem Handy erhalte (es sollte eigentlich der Login zur Firewall kommen). Meine Vermutung ist nun das die Firewall die Pakete an WAN1 zurück schickt.

Im folgenden mal die aktuelle Routing-Tabelle:

IP Address/Netmask Gateway IFace Metric Flags Persist
0.0.0.0/0 91.65.100.254 wan1 0 ASG -
91.65.100.0/24 0.0.0.0 wan1 0 ACG -
127.0.0.0/8 0.0.0.0 lo 0 ACG -
192.168.0.0/24 0.0.0.0 vlan6 0 ACG -
192.168.1.0/24 0.0.0.0 lan1 0 ACG -
192.168.2.0/24 0.0.0.0 lan2 0 ACG -
192.168.5.0/24 0.0.0.0 vlan5 0 ACG -
192.168.7.0/24 0.0.0.0 vlan7 0 ACG -
192.168.254.0/24 0.0.0.0 vlan1 0 ACG -
213.148.X.X/29 0.0.0.0 wan2 0 ACG -


Das ganze führt jetzt dazu das von außen keinerlei Dienste wie VPN oder SFTP mehr zugänglich sind. Überall wird die Verbindung angenommen aber die Clients erhalten einfach keine Rückmeldung.
Eigentlich sollte doch die Firewall selbst erkennen von welchem Interface die Anfrage kommt und entsprechend auch auf diesem eine Antwort geben. Oder habe ich einen entscheidenden Fehler in der Konfiguration / Denkweise?

Ich hoffe, Ihr könnt mir bei meinem Problem etwas auf die Sprünge helfen

Grüße Tumichnix
Mitglied: sk
10.02.2015 um 19:28 Uhr
Poste mal Deine Policy-Routen.

Gruß
sk
Bitte warten ..
Mitglied: transocean
10.02.2015 um 20:20 Uhr
Moin,

ich häng mich hier mal dran, weil ich ein ähnliches Problem mit meiner USG 50 habe. Allerdings betreibe ich die nicht mit Dual WAN sondern mit
virtuellen IP Adressen am WAN 1, um zwei Mailserver hinter der FW und das VPN (L2TP over IPSEC) zu betreiben. Richte ich nun für die beiden Mailserver jeweils ein Static NAT ein, erreiche ich mein Netzwerk hinter der USG 50 nicht mehr per VPN. Ich komme zwar noch auf die USG 50, aber dann ist Schluss.
Stelle ich von Static NAT auf Virtual Server um, klappt es mit der VPN Verbindung ohne Probleme. Die Routen habe ich gemäß Anleitung von Zywall eingerichtet.
Ich sehe gerade das Meer vor lauter Wellen nicht...

Gruß,

Uwe
Bitte warten ..
Mitglied: sk
10.02.2015 um 20:46 Uhr
@transocean: Bitte keine Threads kapern!
Teste mal das: https://www.studerus.ch/de/support/knowledgebase/detail/3573
Wenns nicht hilft, eigenen Thread aufmachen und die Konfig genau beschreiben.

Gruß
sk
Bitte warten ..
Mitglied: transocean
10.02.2015 um 21:07 Uhr
Sorry!

Der Link hat mein Problem gelöst. Danke!!

Gruß,

Uwe
Bitte warten ..
Mitglied: tumichnix
11.02.2015 um 09:30 Uhr
Hallo sk,

momentan gibt es nur eine Policy-Route:

index: 1
active: yes
auto-disable: no
description: servers-wan2
user: any
schedule: none
interface: any
tunnel: none
sslvpn: none
source: servers-wan2
destination: any
DSCP code: any
service: any
srcport: any
nexthop type: Gateway
nexthop: QSC-GATEWAY
nexthop state: Not support
auto destination: no
SNAT: outgoing-interface
DSCP marking: preserve
connectivity-check: no


Durch diese Policy-Route werden bestimmte Server über WAN2 geroutet. Funktioniert auch prima
Bitte warten ..
Mitglied: sk
11.02.2015 um 16:29 Uhr
Was verbirgt sich hinter dem Objekt "servers-wan2"?
Welche Einstellungen wurden unter Configuration>Network>NAT getätigt?
Welche Einstellungen wurden unter Configuration>Network>Interface>Trunk getätigt?
Bitte Screenshots von Maintenance>"Packet Flow Explore">"Routing Status" und Maintenance>"Packet Flow Explore">"SNAT Status" posten!
Bitte warten ..
Mitglied: tumichnix
12.02.2015 um 08:58 Uhr
Was verbirgt sich hinter dem Objekt "servers-wan2"?
Das ist eine Gruppe von Servern welche über "wan2" mit dem WWW kommunizieren.

Welche Einstellungen wurden unter Configuration>Network>NAT getätigt?
Keine.

Welche Einstellungen wurden unter Configuration>Network>Interface>Trunk getätigt?
Hier ist alles auf Default.
Screenshot: http://tumichnix.utapia.de/zywall/trunk.png

Bitte Screenshots von Maintenance>"Packet Flow Explore">"Routing Status" und Maintenance>"Packet
Flow Explore">"SNAT Status" posten!

Routing-Status:
http://tumichnix.utapia.de/zywall/rs-dr.png
http://tumichnix.utapia.de/zywall/rs-pr.png
http://tumichnix.utapia.de/zywall/rs-dwt.png
http://tumichnix.utapia.de/zywall/rs-mr.png

SNAT Status:
http://tumichnix.utapia.de/zywall/snat-rps.png
http://tumichnix.utapia.de/zywall/snat-ds.png

Hab nur Screenshots von den Bereichen gemacht wo auch etwas izu sehen ist.
Im großen und ganzen läuft die Firewall so ziemlich im Default-Modus.

Danke schon mal für deine Hilfe!
Bitte warten ..
Mitglied: sk
12.02.2015, aktualisiert um 18:23 Uhr
Hallo,

Zitat von tumichnix:
> Was verbirgt sich hinter dem Objekt "servers-wan2"?
Das ist eine Gruppe von Servern welche über "wan2" mit dem WWW kommunizieren.

Hmm. Eine etwas genauere Angabe (nämlich die IP-Adressen) hätte ich mir schon gewünscht. Dass sich dahinter nicht ein Pfund Mett verbirgt, hatte ich mir schon gedacht.
Ich interpretiere Deine Antwort so, dass es sich hierbei um Server innerhalb Deines Netzes (und damit um "private" IP-Adressen) handelt - nicht um solche, die aus Deiner Sicht im Internet stehen. Diese Interpretation würde sich auch mit der von Dir wiedergegebenen Policy-Route decken, denn dort ist das Objekt "servers-wan2" als Source-Objekt hinterlegt. Allerdings widerspricht diese Interpretation Deinem Eröffnungsposting, denn dort hast Du geschrieben, dass "mittels Policy-Routes ... bestimmte Ziel-IPs über WAN2 geschickt" werden.

Generell widersprechen die zuletzt geposteten Screenshots diametral Deinen bisherigen Kernaussagen. Es existiert offenkundig nicht nur eine Policyroute, sondern derer vier:
Die erste betrifft Traffic aus einem VPN-Tunnel. Der Sinn dessen ist mir nicht klar.
Die zweite sorgt dafür, dass sämtlicher Traffic, der durch die USG geroutet wird und dessen Ziel mit der USG nicht directly connected ist, über WAN2 geroutet wird. Im Moment läuft also entgegen Deiner obigen Angabe überhaupt kein von innen ins Internet initiierter Traffic über WAN1.
Die dritte und vierte Policyroute erzwingen nochmal explizit, dass Traffic aus dem gesamten Netz 192.168.0.0/24 (vlan6) an zwei bestimmte Ziel-IPs im Internet immer über WAN2 geroutet werden.

Zwischenanmerkung:
Die Policyrouten 3 und 4 sind wirkungslos, da Regel 2 bereits das gleiche bewirkt. Ich vermute, Du hast die 2. Policyroute zu Testzwecken reingenommen und Regel 3 und 4 geben den eigentlich gewünschten Regelungsinhalt wieder (wobei sich dieser auch von der oben wiedergebenen Policyroute unterscheidet).
Bedenke, dass ein Deaktivieren/Löschen der Regel 2 nicht wie von Dir gewünscht bewirkt, dass der Traffic, der nicht von den Policyrouten 3 und 4 erfasst wird, zwingend über WAN1 läuft. Vielmehr erfolgt hierfür ein sessionbasiertes gewichtetes Loadbalancing auf WAN1 und WAN2, da dann der Default-WAN-Trunk greift.

Aber zurück zum Thema:
Wenn auch in dem Konfigurationszustand der Screenshots keine Kommunikation von extern zum WAN2-Interface möglich ist, liegt dies entgegen Deiner Vermutung mit an Sicherheit grenzender Wahrscheinlichkeit nicht daran, dass der Antworttraffic fälschlicherweise über WAN1 zurückgeroutet wird. Eine diesbezügliche Fehlkonfiguration kann ich in den vorliegenden Screenshots nicht erblicken und einen so massiven Bug können wir auch ausschließen. Der wäre mir bekannt (und mir sind etliche bekannt ). Der Grund, weshalb es nicht wie gewünscht funktioniert, dürfte an anderer Stelle der Konfiguration zu suchen sein. Z.B. im Firewallregelwerk.

Wie geht es nun weiter? Man kann hier schwerlich helfen, wenn sich die Angaben so stark von der tatsächlichen Konfiguration unterscheiden. Bitte konfiguriere die USG so, wie Du glaubst, dass sie das von Dir gewünschte Verhalten zeigen müsste und lass alle Debuggingversuche aus der Konfig raus. Dann nochmal testen. Wenns nicht geht: Konfigfile in Gänze posten oder mir per PN schicken (ist ein Klartextfile; Kennwörter bitte ausiXXXsen). Dann den gewünschten Zustand posten und wiedergeben, was nicht wie gewünscht funktioniert. Dann können wir uns dem Problem methodisch nähern.

Gruß
sk
Bitte warten ..
Mitglied: tumichnix
12.02.2015 um 18:24 Uhr
Hallo sk,

Ich interpretiere Deine Antwort so, dass es sich hierbei um Server innerhalb Deines Netzes (und damit um "private"
IP-Adressen) handelt - nicht um solche, die aus Deiner Sicht im Internet stehen.
Korrekt.

Allerdings widerspricht diese Interpretation Deinem Eröffnungsposting, denn dort hast Du geschrieben, dass "mittels
"Policy-Routes" ... bestimmte Ziel-IPs über WAN2 geschickt" werden.
Damit meinte ich das die IPs aus der Gruppe "servers-wan2" nach Außen immer über WAN2 gehen sollen und nie über WAN1.

Generell widersprechen die zuletzt geposteten Screenshots diametral Deinen bisherigen Kernaussagen. Es existiert nicht nur eine
Policyroute, sondern derer vier:
Richtig, in der Zwischenzeit wurde noch etwas an der FW rumgetestet.

Die erste betrifft Traffic aus einem VPN-Tunnel. Der Sinn dessen ist mir nicht klar.
Ist nur ein Test gewesen!

Die zweite sorgt dafür, dass sämtlicher Traffic, der durch die USG geroutet wird und dessen Ziel mit der USG nicht
directly connected ist, über WAN2 geroutet wird. Im Moment läuft also entgegen Deiner obigen Angabe überhaupt kein
von innen ins Internet initiierter Traffic über WAN1.
Kann ich so leider nicht unterzeichnen. Alle Clients welche nicht expliziert per Policy-Route konfiguriert sind gehen definitiv auf WAN1 raus..

Die dritte und vierte Policyroute erzwingen nochmal explizit, dass Traffic aus dem gesamten Netz 192.168.0.0/24 (vlan6) an zwei
bestimmte Ziel-IPs im Internet immer über WAN2 geroutet werden sollen.
Richtig. Das ist auch so gewünscht und funktioniert auch.

Bedenke, dass ein Deaktivieren der Regel 2 nicht wie von Dir gewünscht bewirkt, dass der Traffic, der nicht von den
Policyrouten 3 und 4 erfasst wird, zwingend über WAN1 läuft. Vielmehr erfolgt hierfür ein sessionbasiertes
gewichtetes Loadbalancing auf WAN1 und WAN2, da dann der Default-WAN-Trunk greift.
Stimmt, Das wurde bis jetzt von mir noch überhaupt nicht beachtet. Danke für den Hinweis.

Aber zurück zum Thema:
Wenn auch in dem Konfigurationszustand der Screenshots keine Kommunikation von extern zum WAN2-Interface möglich ist, liegt
dies entgegen Deiner Vermutung mit an Sicherheit grenzender Wahrscheinlichkeit nicht daran, dass der Antworttraffic
fälschlicherweise über WAN1 zurückgeroutet wird. Eine diesbezügliche Fehlkonfiguration kann ich in den
vorliegenden Screenshots nicht erblicken und einen so massiven Bug können wir auch ausschließen. Der wäre mir
bekannt (und mir sind etliche bekannt ). Der Grund, weshalb es nicht wie gewünscht funktioniert, dürfte an anderer
Stelle der Konfiguration zu suchen sein. Z.B. im Firewallregelwerk.
Werde Morgen noch mal einen Screenshot der FW-Regeln posten!

Wie geht es nun weiter? Man kann hier schwerlich helfen, wenn sich die Angaben so stark von der tatsächlichen Konfiguration
unterscheiden. Bitte konfiguriere die USG so, wie Du glaubst, dass sie das von Dir gewünschte Verhalten zeigen müsste
und lass alle Debuggingversuche aus der Konfig raus. Dann nochmal testen.
Wird gemacht (Morgen).

Schon mal vielen Dank für dein Bemühen!

Grüße Tumichnix
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Dual WAN Router mit oder ohne Modem
Frage von istike2Router & Routing5 Kommentare

Hallo, bezüglich meiner Not (siehe hier) bin ich auf der Suche nach einem Annex A Router. Was ich also ...

LAN, WAN, Wireless
Kaufempfehlung: Dual WAN Router
gelöst Frage von FalkITLAN, WAN, Wireless8 Kommentare

Hi zusammen, ich muss bei einem Kunden zwei Internetanschlüsse so konfigurieren, dass sein Büro beim Ausfall eines Anschlusses online ...

LAN, WAN, Wireless
Dual-Wan Router hinter fritzboxen
Frage von Bene007LAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich habe folgendes vor: Kann das so funktionieren? Bzw. was muss ich ändern um mein Vorhaben zu ...

DSL, VDSL
Dual WAN mit "richtiger" Telefonanlage
Frage von IllusionFACTORYDSL, VDSL39 Kommentare

Hallo, zusammen, ich möchte gerne zwei MagentaEins-Anschlüsse (also VDSL 25) bündeln und in einen Profi-Switch (HP ProCurve 19") leiten, ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 12 StundenLinux1 Kommentar

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit24 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...