Multipath Routing mit KabelBW

Moderator: Securepoint

Gesperrt
fct
Beiträge: 21
Registriert: Fr 23.01.2009, 17:19

Multipath Routing mit KabelBW

Beitrag von fct »

Hallo zusammen,

wir haben seit Kurzem eine zweite IP von KabelBW, die wir über das Bridging der Fritz-Box direkt an eth3 unserer FW angeschlossen haben.
Wenn wir DHCP auf diesem Interface aktivieren, bekommen wir die korrekte externe IP2 (217.8.x.y), allerdings kommt da eine /26er Maske mit.
Außerdem haben wir zusätzlich unsere bisherige Konfiguration, nämlich Port 1 der Fritz-Box (192.168.0.2) (nicht gebridget) an eth0 (192.168.0.1).
Die Fritz-Box selbst hält die externe IP1 (217.8.x.z). Merke: Das "x" in IP1 und IP2 ist gleich und beide liegen auch innerhalb des gleichen Subnets (geht ja von x.0 - x.63).
Wir haben also folgende Konfiguration:

eth0 external, vpn-ipsec, vpn-... 192.168.0.1/24
eth1 internal, firewall-internal 172.16.0.1/23
eth3 dmz2, firewall-dmz2 217.8.x.y/26
eth5 dmz4, firewall-dmz4 10.0.1.1/24

und eine Default Route über GW 192.168.0.2 (Fritz-Box) auf 0.0.0.0/0.

Wir würden jetzt gerne Folgendes erreichen:

1. In DMZ4 steht ein Rechner 10.0.1.10. Dieser soll ausschließlich über DMZ2 (217.8.x.y) ins Internet kommen und auch von dort auf Port 443 erreichbar sein.
2. Alle anderen Netze sollen weiterhin die bisherige Route verwenden.
3. Außerdem sollen alle Rechner aus Internal (eth1) direkt auf o.g. Rechner in DMZ4, Port 443 kommen.

Momentan haben wir das Problem, dass wir zwar mit entsprechender Regel im Paketfilter aus Internal auf DMZ4 kommen, allerdings kann 10.0.1.10 selbst nicht ins Internet pingen - das sieht nach einem Routingproblem aus.
Wir haben deshalb die Source-Route
10.0.1.10 32 217.8.63.49 0.0.0.0 0 1
erstellt und im Paket filter das Netz DMZ4 vollständig (vorerst) für Internet freigegeben.
Außerdem wurde ein Hide-NAT für DMZ4 hinter eth3 erstellt.

Leider funktioniert das alles bisher nicht - können Sie uns da einen Tip geben?
Danke im Voraus,
FCT

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

wenn es nur der Rechner aus dem Netz 10.0.1.0/24 ist brauchen Sie nicht viel konfigurieren. Ich gehe davon aus das die benötigten Zonen schon vorhanden sind.

1. In DMZ4 steht ein Rechner 10.0.1.10. Dieser soll ausschließlich über DMZ2 (217.8.x.y) ins Internet kommen und auch von dort auf Port 443 erreichbar sein.
Für den Zugriff auf das Internet müssen Sie zwei Objekte einmal anlegen. Einmal für die neue Leitung und einmal den einzelnen Rechner. Ein Routing und zwei Regelwerke.

Objekt für die neue Leitung:
Name: Internet2
Typ: Netzwerk (adresse)
Adresse: 0.0.0.0/0
Zone: external vom eth3

Objekt für den Rechner:
Typ: Netzwerk (adresse)
Adresse: 10.0.1.10/32
Zone: internal vom eth5

Routing:
Quellnetzwerk: 10.0.1.10/32
Gatewayschnittstelle: eth3
Zielnetzwerk: 0.0.0.0/0

Quelle: der Rechner 10.0.1.10
Ziel: Internet2
Dienst: zb. any
NAT: HN
Netzwerkobjekt: external-interface von eth3

Quelle: Internet2
Ziel: 10.0.1.10
Dienst: 443
NAT: DNAT
Netzwerkobjek:external-interface von eth3
Dienst: 443


2. Alle anderen Netze sollen weiterhin die bisherige Route verwenden.

Dies belassen wir so wie es ist.

3. Außerdem sollen alle Rechner aus Internal (eth1) direkt auf o.g. Rechner in DMZ4, Port 443 kommen.

Quelle: Internal Network (172.16.0.1/23)
Ziel: 10.0.1.10
Dienst: 443
Nat: HN
Netzwerkobjekt: internal Interface (eth3)



Gruß Björn

JanP
Beiträge: 29
Registriert: Do 19.11.2009, 12:41

Beitrag von JanP »

Hallo,

handelt es sich um eine UTM v10 oder v11?

Grüße
JP

fct
Beiträge: 21
Registriert: Fr 23.01.2009, 17:19

Beitrag von fct »

Es ist eine v10. Deshalb habe ich in das v10-Forum gepostet.
@Björn: Danke vorerst, ich werde diese Config nachher einmal testen. Ich wünsche ein schönes Wochenende!

fct
Beiträge: 21
Registriert: Fr 23.01.2009, 17:19

Beitrag von fct »

Hallo Björn,

das sieht ziemlich genau nach dem aus, was wir bisher schon probiert hatten. Hier die Config, wie ich sie jetzt nach dieser Anleitung durchgeführt habe:
Objekt für die neue Leitung:
Name: Internet2
Typ: Netzwerk (adresse)
Adresse: 0.0.0.0/0
Zone: external vom eth3
"external vom eth3" soll hier wahrscheinlich die Zone "dmz2" sein. "external" an sich hängt ja schon an eth0. Also haben wir jetzt:

Name: Internet2
IP: 0.0.0.0
Netmask: 0.0.0.0/0
Zone:dmz2
Objekt für den Rechner:
Typ: Netzwerk (adresse)
Adresse: 10.0.1.10/32
Zone: internal vom eth5
Die "internal vom eth5"... Nun, ich kann nicht zwischen "internal" und "external" uneterscheiden, eth5 hält per default die beiden Zonen "dmz4" und "firewall-dmz4". Aussuchen im Network Objects Fenster kann ich sowieso nur die "dmz4", also habe ich diese gewählt.
Routing:
Quellnetzwerk: 10.0.1.10/32
Gatewayschnittstelle: eth3
Zielnetzwerk: 0.0.0.0/0
Beim Routing habe ich keine Möglichkeit eine Schnittstelle zu wählen. Routing ist ja auch Schicht 3 (IP). Als Gateway habe ich daher die IP von eth3 und nicht eth3 als Inerface eingetragen. eth3 hat übrigens per DHCP die 217.8.x.y/26 bekommen.
Hier die neue Routing-Regel:
10.0.1.10/32 -> 217.8.x.y -> 0.0.0.0/0
Quelle: der Rechner 10.0.1.10
Ziel: Internet2
Dienst: zb. any
NAT: HN
Netzwerkobjekt: external-interface von eth3
Ich nehme an, dass es sich hierbei um das erste "Regelwerk" im Portfilter handelt. Dort kann allerdings kein NAT konfiguriert werden, sondern nur ein "Rule routing". Und auch ein "Netzwerkobjekt" ist nirgends zu finden. Ich habe also die Regel so angelegt:
10.0.1.10 -> Internet2 mit any
Danach habe ich im Menüpunkt Hide-NAT ein neues NAT erstellt, mit folgenden Daten:
10.0.1.0 (das Netz, da ist der .10er sowieso allein drin) -> eth3 -> Internet2
Quelle: Internet2
Ziel: 10.0.1.10
Dienst: 443
NAT: DNAT
Netzwerkobjek:external-interface von eth3
Dienst: 443
Was bedeutet "DNAT"? Regel so angelegt:
Internet 2 -> 10.0.1.10 mit any (testweise).

Was wir jetzt beobachten können:
Aus dem internen Netz (eth1, Zone internal) aufgerufen, kommt man über http auf die 217.8.x.y auf dem Web-Portal der Firewall raus (also wahrscheinlich auf einer der Interface-IPs).
Von 10.0.1.10 aus kommt man nirgends hin, weder kann man 10.0.1.1 pingen (trotz aktiver Ping-Einstellung für eth5), nocht kann man das externe 217.8.x.y pingen, noch kann man irgendwo ins Internet pingen. Als Rückmeldung kommt "Antwort von 10.0.1.1: Zielhost nicht erreichbar", also sieht eth5 keine Route ins Internet (trotz konfiguriertem Routing, s.o.).
Nutzen wir aus dem internen Netz einen HTTP-Proxy, so dass die zugreifende IP von außerhalb unseres Netzes auf die 217.8.x.y zugreift, so gibt es keinen Fehler oder Timeout-Abbruch im Browser, die Seite hört lediglich einfach nie auf zu laden.
Dieses Verhalten hatten wir bisher schon einige Male, und wir haben alle möglichen (und unmöglichen) Konfigurationen getestet.

Ich hoffe Ihnen hilft diese Rückmeldung irgendwie weiter.
Viele Grüße vom Bodensee und Danke im Voraus!

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

tut mir leid ich hatte das mit der V10 überlesen. Hier müssen Sie bei eth3 ein Transfernetz schaffen.

Gruß Björn

Gesperrt