HideNAT bei Multipathing

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
it.uft
Beiträge: 10
Registriert: Do 12.12.2019, 11:05

HideNAT bei Multipathing

Beitrag von it.uft »

Hallo,

ich habe eine UTM mit 10MBit-Leitung und einem LTE-Router.
Diese habe ich im Portfilter für die ausgehenden Emails wie folgt konfiguriert:
1. für die 10MBit-Leitung
Quelle: Exchange-Server
Ziel: Internet (Zone: external - eth0)
Dienst: smtp
Hidenat: external-interface

2. für LTE-Router
Quelle: Exchange-Server
Ziel: Internet-2 (Zone: external-2 - eth3)
Dienst: smtp
Hidenat: external-interface

Rule Router: eth0

Aber komischerweise funktioniert das HideNat nicht. Wenn ich zum Beispiel an Web.de schicke, dann kommen diese nicht an - angeblich wegen Blacklisting. Ich musste die Gewichtung mehr in Richtung external - eth0 machen, damit die Emails irgendwann mal durchgeschickt wurden. Kann mir mal bitte jemand sagen, was ich da eintragen muss bei hideNat oder auch bei HideNAT-Exclude, damit die Mails richtig verschickt werden? Oder muss ich etwas anderes verändern?

Besten Dank für eure Hilfe schonmal.

VG Roman

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Was steht denn unter ETH0 im Route Hint? (Gucken Sie Einstellungen der Schnittstelle)
Dort muesste das Gateway stehen. Ist das Feld leer wird auch keine Rule Route geschrieben
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

it.uft
Beiträge: 10
Registriert: Do 12.12.2019, 11:05

Beitrag von it.uft »

Hallo und Danke erstmal,

bei eth0 ist unter Route Hint nix eingetragen.
Ich trage jetzt die IP vom Gateway und schaue mal.

Edit: Scheint geklappt zu haben. Sogar die Emails an Web.de kommen jetzt ohne Verzögerung an

VG Roman

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Kein Thema. Ich wuerde Ihnen generell empfehlen, dies so zu handhaben. Vor allem da dann Routen mit dem Interface als Gateway angelegt werden koennen. Bei Verwendung des Fallbacks ist das eine Grundvorraussetzung fuer die Funktion.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

it.uft
Beiträge: 10
Registriert: Do 12.12.2019, 11:05

Beitrag von it.uft »

Habe beim Fallback für den eth3 auch den eth0 eingetragen. Wenn ich das richtig verstehe, wäre das nicht gegangen, wenn ich den Gateway bei der Schnittstelle nicht eingetragen hätte?

Kann ich mal noch eine Frage zu den Diensten stellen?

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Korrekt. (Bei Verwendung des DHCP-Client wird der Wert normalerweise per DHCP an die Firewall uebergeben)

Ja, gerne!
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

it.uft
Beiträge: 10
Registriert: Do 12.12.2019, 11:05

Beitrag von it.uft »

In erster Linie soll Meetingsoftware über den LTE-Router laufen.
Ich habe also eine Dienstgruppe erstellt, wo die ganzen Dienste für z.B. Teams und Zoom zusammengefasst sind.
Also:
tcp - Port 80
tcp - Port 443
udp - 3478-3481
udp - 8801-8802
tcp - 8801-8802

Im Portfilter habe ich das ganze dann dem LTE-Router zugeordnet:
Quelle: internal-network
Ziel: internet-2 (eth3 - external-2)
Dienstgruppe: Meeting-SW
HideNat: external-interface-2

Danach kommt dann die Regel für die 10MBit-Leitung (eth0)
Quelle: internal-network
Ziel: internet (eth0 - external)
Dienstgruppe: default-internet
HideNat: external-interface

Die einzigen Dienste welche die beiden Dienstgruppen teilen sind http (tcp port 80) und https (tcp port 443). "Komischerweise" versucht er mit dieser Einstellung trotzdem den ganzen Internetverkehr (Surfen im Explorer) über den LTE-Router raus zu bringen.

Muss ich http und https raus nehmen aus der Dienstgruppe oder die Reihenfolge ändern oder habe ich gar wieder irgendwo vergessen einen Gateway einzutragen?

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Was in dem Fall auch korrekt ist, da die erste Rule Route hier greift. Zudem koennte auch noch der Transparente Proxy hier ein Woertchen mitzureden haben, da dieser sich nicht fuer die Rule-Route oder gar Portfilterregel interessiert. (Der Proxy als Dienst kann ueberall hin/ folgt den normalen Routen)

Die Rule Routen also besser auf explizite Quellgeraete/ Ziele/ Netze festsetzen. Rule Routen wenn es geht auch vermeiden. Zuerst besser mit den normalen Routen arbeiten und nur bei Bedarf mit einer Rule-Route umlenken.

Und ganz wichtig: Ausnahmen fuer den transparenten Proxy hinterlegen/ bei einem festen Proxy am Client Ausnahmen hinterlegen. Sonst entscheidet ausgehend die Routen der FW fuer den der Proxy, wo es langeht.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten