Rule Routing

[Petasch]

Hallo, habe grade mal zu Testzwecken eine FW mit 2 Internetzugänen konfiuriert, einmal modem und einmal router ... funktioniert auch bestens, bricht die eine verbindung ab läuft es über die andere automatisch , zwar mit einer kurzen unterbrechungszeit von 20 sec aber alles bestens ...
jetzt wollte ich mal rule routing machen...
dafür hab ich konfiguriert:

intern>internet>administration ppp0
intern>internet>default-internet eth2

ziehe ich das netzwerkkabel zum modem (quasi dsl leitung fällt aus) sollte doch eigentlich keine administration von anderen fw´s möglich sein, da ja dieser dienst nur über das ppp0 interface erlaubt ist, richtig? aber es funktioniert trotzdem...


oder ist das rule routing so gedacht, das die dienste über die jeweilige verbindung laufen wie sie konfiguriert sind und wenn davon eine ausfällt laufen auch die andere dienste mit über die eine leitung? dachte eigentlich nicht...

grüße martin

[carsten]

Hallo,

mit dem RuleRouting kann man sich ganz leicht selbst in den Fuß schießen.

Die Reihenfolge der Regeln ist von entscheidender Bedeutung.

Fällt eine Leitung aus, weren die Pakete NICHT über das andere Interface geroutet.

[Petasch]

wie darf ich das mit reihenfolge verstehen? ich habe nur die 2 regeln in meiner testfw ...und als drittes noch intern>intern_interface>dns...

[carsten]

OK,

die FW ist auf dem letzten Patchlevel 5888

[Petasch]

nicht ganz, ist eine 5865 glaube ich .. weiß nich genau... da ich aber für die test-fw keine lizenz habe, kann ich auch nicht updaten ... und bei kundenfw rum zu probieren ist mir nix ;o)

hat sich denn im neuen patchlevel diesbezüglich was geändert?

[Buster]

Guten TAg,

nett wäre auch wenn es zu den neuen Patchen auch eine Changelog geben würde
und man zusätzlich auch noch informiert werden würde das es überhaupt einen
neuen Patch gibt ;-(

MfG
-Roland Hermes-

[Petasch]

so habe jetzt mal die 5888 aufgespielt, aber da hab ich genau das gleiche problem immernoch wie zum threadbeginn ... wie muss man die gewichtung der routing´s setzen, damit ich keine lastverteilung habe, sondern wirklich dieses regelbasierte rounting funktioniert? (falls es damit was zu tun haben sollte)

wie gesagt, es funktionieren beide extern-verbindungen ... fällt eine aus läuft alles über die eine, funktioniert ... nur rule routing klappt bei mir nicht...fällt die leitung aus über die ein bestimmter dienst geroutet wird, läufts über die andere anstatt nciht zu funktionieren

[Petasch]

keine idee?

[Petasch]

mm also falls ich deswegen keine antwort bekomme von securepoint weil ich geschrieben habe das die fw nicht lizensiert ist.... also unsere firmenfw und alle kunden fw´s sind lizensiert ... dies ist nur meine testfw... bitte um hilfe

[carsten]

Hallo,

nein noch keine Idee? Müssen wir erste testen was genau passiert. Von der Theorie her sind aber beide Szenarien denkbar.

Jedes Paket das ein- oder ausgeht wird markiert und die Verbindung einer Leitung zugewiesen. Das Rulerouting weist nur alle Verbindungen einer speziellen Leitung zu, sollte nun die Makierung wegfallen, so ist es denkbar das nicht mehr die spezielle Route greift sonder die defaultroute wieder zum Einsatz kommt.

Ob das dein Bug oder Feature ist kann ich zur Zeit nicht sagen

[Petasch]

also habe grade nochmal geschaut ... sind beide internetverbindungen "vorhanden", wird das rule routing berücksichtigt... quasi ich sehe im logging das bestimmte dienste über leitung a, andere dienste über leitung b laufen...so wie es sein soll ;o) also problem wie gesagt nach wievor nur wenn 1ne der beiden leitung ausfällt

[carsten]

Ich frage mal anders, warum muss die FW den Traffic denn unbedingt blocken wenn 1 Leitung ausfällt?

[carsten]

Ok,

es ist Absicht das es genau so funktioniert, wie Sie es beschrieben haben.

[Petasch]

alles klar, dann weiß ich bescheid das ich nix falsch gemacht hab