2x Internet - 1x LAN - Weiterleitung interner Dienste

Moderator: Securepoint

Gesperrt
hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

2x Internet - 1x LAN - Weiterleitung interner Dienste

Beitrag von hurikhan77 »

Hallo!

Wir haben eine Securepoint 2009nx mit folgender Topologie:

A-DSL via ppp0 - Zone external (default route)
S-DSL via ppp11 - Zone dmz1

Über ppp11 ist mittels Destination Routing ein IPsec-VPN geroutet (dies mußte eingerichtet werden, damit Anfragen durch den VPN-Tunnel über S-DSL rausgehen und die Default-Route für sonstigen Internet-Verkehr weiter über ppp0 geht. Funktioniert auch wunderbar.

Auf ppp0 bieten wir mittels NAT folgende Dienste auf dem SBS-Windows-Server an: SMTP, HTTPS, Remote Desktop, Windows-PPTP

Auf dem ppp11 wollen wir jetzt folgende Dienste anbieten: Windows-PPTP (und vom ppp0 wegziehen), VMware ESXi-Konsole (benötigt HTTPS, VMware-VCI 902-903, SSH).

Leider klappt das nicht: Der HTTPS-Port für die VMware ist z.B. nicht erreichbar. Das Durchleiten der Ports scheint nicht zu klappen - ich vermute, daß die Antwortpakete über das falsche Interface rausgehen - denn beide Interfaces sind ja an 0.0.0.0/0 angeschlossen (wobei wir das any-Netzwerk-Objekt extra schon in beiden Zonen definiert haben: extern und dmz1). Ich habe deshalb auch noch nicht den PPTP-Tunnel umgezogen.

Da die Firewall stateful arbeitet, ging ich eigentlich davon aus, daß eine einfache NAT-Regel ausreicht, um die Pakete zum LAN durchzureichen und die Antwort-Pakete automatisch den richtigen Rückweg nehmen. Vermutlich könnte ich ein umgekehrtes Hide-NAT bauen, um das gesamte Internet hinter dem ppp11 zu verstecken, allerdings würden die LAN-Teilnehmer bei ppp11-Traffic dann nicht mehr die richtigen extern zugreifenden Quell-IPs sehen - das ist weder gut noch erwünscht. Die SNAT-Regeln sehen alle gut aus. Die Theorie mit den falsch gerouteten Antwort-Paketen kann ich momentan nicht belegen (ich wüßte nicht wie, im Log ist irgendwie wenig zu sehen dazu).

Also: Wie dann?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ich würde ein Rule-Routing ganz oben im Regelwerk hinzufügen.
VMWare-Server -> Internet-ppp11 -> -> ppp11

Beachten Sie dabei, dass Source-Routen Vorrang vor Rule-Routen haben.

hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Beitrag von hurikhan77 »

Ah dafür ist das Rule-Routing... Okay, das versuchen wir. Dann muß ich aber „Die Dienste“ anders herum definieren oder? Denn im Moment ist für das NAT eingehend das ja so definiert:

Internet-ppp11 → VMware-Server(SNAT) → «Die Dienste»

Wenn ich nun für's Rule Routing nochmal ausgehend den Weg definiere, müßte ich ja die Dienste quasi "umdrehen", sprich aus 1024:65535-902:903 müßte 902:903-1024:65535 werden.

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

die Eingangspakete werden aber markiert und dann auch an dem entsprechendem Interface wieder rausgerouted. Das funktioniert beim Portforwarding automatisch ohne weitere Einstellungen. Warum das bei Ihnen nicht geht kann ich so nicht sagen.

Die Leitung hat aber auch eine default route ins Internet?
A-DSL via ppp0 - Zone external (default route)
S-DSL via ppp11 - Zone dmz1
There are 10 types of people in the world... those who understand binary and those who don\'t.

hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Beitrag von hurikhan77 »

carsten hat geschrieben: die Eingangspakete werden aber markiert
Davon ging ich auch aus.
carsten hat geschrieben: Die Leitung hat aber auch eine default route ins Internet?
Nein, die ppp11 hat keine Default-Route, da darüber nur spezieller Traffic rausgehen soll. Ist trotzdem eine Markierung nötig, obwohl die Pakete markiert sind?
Zuletzt geändert von hurikhan77 am Fr 06.08.2010, 12:28, insgesamt 1-mal geändert.

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

ich kann nicht zu 100% sagen ob die Konstellation mit dem RuleRouting funktioniert. Aber wenn, dann müssen Sie Quell- und Sourceport vertauschen.
There are 10 types of people in the world... those who understand binary and those who don\'t.

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Ist trotzdem eine Markierung nötig, obwohl die Pakete markiert sind?
Definitiv, denn ohne Route kein weiterleiten der Pakete ;)
Zuletzt geändert von carsten am Fr 06.08.2010, 13:58, insgesamt 1-mal geändert.
There are 10 types of people in the world... those who understand binary and those who don\'t.

hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Beitrag von hurikhan77 »

carsten hat geschrieben: ich kann nicht zu 100% sagen ob die Konstellation mit dem RuleRouting funktioniert. Aber wenn, dann müssen Sie Quell- und Sourceport vertauschen.
Ausprobiert, funktioniert nicht. Grund vermutlich, weil das ppp11 keine Routing-Zuständigkeit für 0.0.0.0/0 hat. Wenn ich die allerdings eintrage, kann ich nicht mehr garantieren, daß der Traffic per Default nur über ppp0 geht. Im Moment sind für ppp11 nur zwei Zielnetzrouten für die beiden möglichen VPN-Entpunkte der Gegenseite eingetragen.

Wir hatten überlegt, die Metrik (in der Securepoint „Gewichtung“ genannt) einzutragen. Laut Doku wird dieses Feld aber vom Linux-Kernel entweder gar nicht benutzt (sagt eine Quelle) oder aber zum Hop-Count während der Routing-Entscheidung hinzuaddiert (vermutlich also zum ermittelten Hop-Count im Routing-Cache). Das hätte also auch nicht den erwünschten Effekt.

Nun könnte man natürlich Rule-Routing verwenden und allen Regeln, die Traffic ins Internet erlauben das ppp0 vorschreiben, und die wenigen Ausnahmen darüber einfügen für ppp11, was sicher auch die flexibelste Lösung ist - allerdings befürchte ich, das wird eine Schraube ohne Ende und einfach nur ein unadministrierbarer Haufen.

Außerdem fehlt dieser Flexibilität immer noch eine Möglichkeit: Wir wollen auch eingehenden SMTP-Traffic (Mail ist bei dem Kunden sehr wichtig) bei Bedarf einfach über das ppp11 statt ppp0 reinleiten - als Ausweichstrecke bei Ausfall. Dieses Problem würde Rule-Routing nicht lösen. Dazu würden wir das ppp11 dann später einfach als Backup MX eintragen im DNS.

Ich sehe also genau zwei Möglichkeiten:

1. Source-Routing für den VMware-Server verwenden, ggf. auch für den SMTP-Server - ohne die Flexibilität, gezielt Traffic über das eine oder andere Interface zu lenken mit Ausweichmöglichkeit auf das andere beim Wegbrechen des Kanals

2. Beiden Interfaces eine Route ins Any-Netz zuweisen, mit Verlust der Kontrolle über welches Interface der Traffic geht oder einer Horde von Rule-Routing-Einstellungen einhergehend mit dem Verlust, das andere Interface als Ausweichstrecke zu nutzen

Wenn ich einen dritten Weg übersehe, dann bitte melden. :-)

Gesperrt