Hallo,
kurz zu unserer Situation:
2 x DSL Leitungen (XX.XX.20.54, Dynamisch), 2 x interne Netze (192.168.100.0/24; 192.168.1.0/24)
unser Vorhaben:
Die internen Netze müssen getrennt voneinander sein,
Über das 100.0 Netz sollen VPN Verbindungen über die XX.XX.20.54 DSL Leitung laufen.
Internet nur über die 2te DSL leitung (Dynamische),
Das 1.0 Netz soll nur über den 2ten DSL Anschluss (Dynamische) laufen.
Bei Ausfall der 1ten DSL Leitung (XX.XX.20.54) soll VPN auch über die 2te (Dynamisch) laufen
Jetzt ist meine Frage wie muss ich die Interfaces konfigurieren (Zonen, Netzwerkobjekte) damit unser Vorhaben funktioniert?
In dem How-To Multipath Routing wird das ganze mit 2 Dsl Leitungen aber nur mit einem internen Netz beschrieben. Daher glaub ich damit nicht all zu viel anfangen zu können.
Wer kann mir da weiterhelfen?
Danke
Gruß
illuminaten
2 interne Netze und 2 DSL Leitungen
Moderator: Securepoint
-
illuminaten
- Beiträge: 12
- Registriert: Mi 28.05.2008, 12:55
2 interne Netze und 2 DSL Leitungen
Zuletzt geändert von illuminaten am Mo 19.10.2009, 14:36, insgesamt 1-mal geändert.
recht einfach...
netz voneinander trennen:
entweder ihr habt eine firewall mit 4 netzwerkkarten (ab rc200 oder größer). dann auf 2 der karten die beiden dsler, auf jeweils eine der anderen karte das interne netz...also einmal 192.168.1.x und 192.168.100.x
schon sind die netze von einander getrennt, solange keine regeln erstellt werden wie (netz a > netz b > any oder so). sollten keine 4 Netzwerkkarten vorhanden sein, dann einfach auf die interne karte eine weitere ip hinzufügen.
nachteil an der lösung: jemand aus netz b gibt sich einfach ne adresse aus netz a und ist somit im a netz.
internet über dsl2:
- proxy an interne ip binden und ein sourcerouting erstellen für die interne ip mit der route über das 2 dsl falls proxy aktiviert, ansonsten einfach auf die regeln ein rule routing (netz b > internet > default-internet ppp1)
vpn nur auf dsl1:
nach dem erstellen der vpns die phase 1 der vpn verbindung öffnen und lokales gateway und lokales gateway-id auf das bestimmte dsl (in dem fall dsl 1) setzen. bei roadwarrior verbindungen den dienst noch an das interface binden.
wegen der ausfallsicherheit bei vpn wenn dsl 1 ausfällt kann ich leider nicht weiterhelfen
netz voneinander trennen:
entweder ihr habt eine firewall mit 4 netzwerkkarten (ab rc200 oder größer). dann auf 2 der karten die beiden dsler, auf jeweils eine der anderen karte das interne netz...also einmal 192.168.1.x und 192.168.100.x
schon sind die netze von einander getrennt, solange keine regeln erstellt werden wie (netz a > netz b > any oder so). sollten keine 4 Netzwerkkarten vorhanden sein, dann einfach auf die interne karte eine weitere ip hinzufügen.
nachteil an der lösung: jemand aus netz b gibt sich einfach ne adresse aus netz a und ist somit im a netz.
internet über dsl2:
- proxy an interne ip binden und ein sourcerouting erstellen für die interne ip mit der route über das 2 dsl falls proxy aktiviert, ansonsten einfach auf die regeln ein rule routing (netz b > internet > default-internet ppp1)
vpn nur auf dsl1:
nach dem erstellen der vpns die phase 1 der vpn verbindung öffnen und lokales gateway und lokales gateway-id auf das bestimmte dsl (in dem fall dsl 1) setzen. bei roadwarrior verbindungen den dienst noch an das interface binden.
wegen der ausfallsicherheit bei vpn wenn dsl 1 ausfällt kann ich leider nicht weiterhelfen
Zuerst einmal können Sie die VPN-Verbindungen im Falle eines Ausfalls nicht automatisch auf die andere Leitung umlegen. (Falls eine Erklärung gewünscht wird, lasse ich mich später dazu aus 
)
Nun zu Ihrer grundlegenden Konfiguration
Interfaces:
ppp0
IP: XX.XX.20.54
Zonen: external;firewall-external;vpn-ppp;vpn-ipsec
ppp1
IP: dynamisch
Zonen: dmz1;firewall-dmz1
eth2
IP: 192.168.1.1/24
Zonen: dmz2;firewall-dmz2
eth3
IP: 192.168.100.1/24
Zonen: dmz3;firewall-dmz3
Routen:
192.168.100.0/24 -> ppp0 -> 0.0.0.0/0
192.168.1.0/24 -> ppp1 -> 0.0.0.0/0
- jetzt setzen Sie die Outgoing-Address des HTTP-Proxys auf 192.168.1.1
Die Zonen der Netzwerkobjekte sollten somit klar sein.
Unter VPN-Verbindungen -> Phase 1 -> "Route über Gateway" müssen Sie jetzt immer "ppp0" eintragen.
)Nun zu Ihrer grundlegenden Konfiguration
Interfaces:
ppp0
IP: XX.XX.20.54
Zonen: external;firewall-external;vpn-ppp;vpn-ipsec
ppp1
IP: dynamisch
Zonen: dmz1;firewall-dmz1
eth2
IP: 192.168.1.1/24
Zonen: dmz2;firewall-dmz2
eth3
IP: 192.168.100.1/24
Zonen: dmz3;firewall-dmz3
Routen:
192.168.100.0/24 -> ppp0 -> 0.0.0.0/0
192.168.1.0/24 -> ppp1 -> 0.0.0.0/0
- jetzt setzen Sie die Outgoing-Address des HTTP-Proxys auf 192.168.1.1
Die Zonen der Netzwerkobjekte sollten somit klar sein.
Unter VPN-Verbindungen -> Phase 1 -> "Route über Gateway" müssen Sie jetzt immer "ppp0" eintragen.