Securepoint Support Forum

Hallo,

ich habe leider noch massive Probleme mit Multipath routing.

ETH0 = Internet über Standleitung
ETH1 = Intern
an ETH2 ist über PPP1 (ja 1!) an DSL Modem angeschlossen.

Die DSL Leitung soll die Notleitung sein falls unsere Standleitung mal ausfallen sollte. Hier ist schon das erste Problem. Es ist nicht möglich wie in einer der PDF Anleitungen die Wichtung auf 0 für Failover einzustellen.

Zudem sollen über die DSL Leitung alle ausgehenden SMTP Verbindungen abgewickelt werden.

Ich habe es mit verschiedenen Konfigurationen nicht zum laufen gebracht:

Für die DSL Leitung habe ich natürlich neue Zonen für das Netz 0.0.0.0 und das Firewall Interface ppp1 angelegt.

Ich habe eine Rule:
Intern -> Extern DSL (das Netzobjekt mit der DSL Zone) -> SMTP -> Route über ppp1

die spricht schonmal nicht an.

Beim DSL Provider habe ich bei Standard Route kein Haken.
Danach habe ich bei Routing eine neue Standard Route angelegt: über ppp1 nach 0.0.0.0

Im Log bekomme ich nun immernoch angezeigt, dass das Paket über eth0 gehen wollte und Default Drop angewendet wurde.

HideNat Intern über ppp1 nach Extern DSL habe ich auch angelegt.

Wie immer meine Frage. Gibt es hier noch ein Trick?

Viele Grüße
Mathias

Das einzige, was mir grad einfällt:
Haben Sie irgendwo noch eine allgemeinere Regel, die z.B. "any" über eine andere Leitung schickt, während "smtp" über ppp1 geroutet wird?

Das schlägt dann fehl, weil sich beide Markierungen überschneiden.

Hallo, ich habe heute nochmal einige Zeit damit verbracht des Rule Routing zum laufen zu bekommen. Es ist jedoch alles sehr unstabil!

Nachdem ich mich nochmals genauer durch die Tutorials durchgearbeitet habe, ging es (manchmal).

Folgende Probleme treten z.B. auf
Beide Verbindungen haben als Gewichtung 1.
Ich habe rules für Port 25 im Internet und einen Host im Internet. Der Host ist in der Portfilter Liste natürlich vor der die an das gesamte Internet geht.

Nun wird z.B. nur die PPP1 Verbindung genommen. Egal was das Rule Routing sagt.
Stelle ich bei ETH0 die Gewichtung auf 200 so funktioniert es anscheinend. Pakete die über die Rule über PPP1 gehen sollen passieren die Schnittstelle dann auch.

Des weiteren gibt es teilweise Probleme bei Verbindungen über den Proxy. Dieser ist an die Externe IP von eth0 gebunden. Manchmal meint die Firewall aber Domain Names nicht auflösen zu können oder zu wollen.

Meiner Meinung funktioniert das ganze noch ehermangelhaft.

Für mich wäre es hier optimal wenn ich die Gewichtung des PPP1 auf 0 stellen könnte, sodass diese Verbindung nur genutzt wird wenn es über eine Ruleroute unbedingt erforderlich ist.

Erik hat geschrieben: Das einzige, was mir grad einfällt:
Haben Sie irgendwo noch eine allgemeinere Regel, die z.B. "any" über eine andere Leitung schickt, während "smtp" über ppp1 geroutet wird?

Das schlägt dann fehl, weil sich beide Markierungen überschneiden.

Hallo,

nein, das habe ich auch noch extra kontrolliert. Mein vorheriges Problem war z.B. das in Netzwerkgruppe nicht beide Externe NEtzwerkobjekte von PPP1 und ETH0 drin waren. Zudem muss man immer warten bis die DSL Leitung steht da ansonsten die Firewall für das andere Interface geht.

Nachdem ich das gefixt hatte resultierten die Probleme über diesemn Post

evtl eine Rolle spielt: Ich bekomme im Log öfters die Zeile:

bird: KRT: Received Route 0.0.0.0/0 with unknown ifindex 4294967295

Gibts schon etwas neues?

Mit Gewischtung auf 200 funktioniert es meistens. Aber selbst dann versucht anscheinend der Proxy oder DNS über die DSL Leitung eine Verbindung aufzunehmen. Komischerweise klappt dies nicht.
Gibt es keine möglichkeit die DSL Leitung nur dann zu verwenden, wenn dies über eine Rule so definiert ist?

Hallo,

es wäre mir schon wichtig die Gewichtung eine Multipath Defaultroute auf 0 stellen zu können! So steht es ja auch im Handbuch.
Ich würde mich auch mit einem hack begnügen. Leider konnte ich auch nicht herausfinden in welcher Konfigurationsdatei dies eingestellt wird.