Securepoint Support Forum

Hallo,
der Installationsassistent hat im Portfilter in unserer neuen RC300 mehrere Regelgruppen angelegt. Als erstes die Gruppe internal-Network (autogeneriert). Leider läßt sich hier keine Regel bearbeiten. Kann man das ändern? Und sofern ja, wie? ;-)
Was mich stört ist das Ziel "Internet", dies würde ich gern etwas detaillierter bezeichnen, da wir zwei DSL Leitungen in der RC300 konfigurieren. Wir haben also zweimal "Internet"! Wie kann ich beide Leitungen (eth0 - VDSL, eth3 - SDSL) im Regelwerk korrekt trennen bzw. konfigurieren?
Freundliche Grüße
Thomas Lohe

Wenn Sie die Regeln ändern wollen einfach einmal die ganze Gruppe wegwerfen und fix neu anlegen.
Eine Anleitung zum Thema Multipath und dessen Einrichtung finden Sie hier in unserem wundervollen WIKI:
http://wiki.securepoint.de/index.php/Ho ... outing_v11

Hallo,
bei uns ist das Szenario etwas anders als in der Wiki (danke für den Link) dokumentiert ist:
Die Leitung an eth0 (VDSL) soll generell für den gesamten Internetzugriff in der Firma genutzt werden (ausgehende Verbindungen). An der zweiten Leitung an eth3 (SDSL) kommen alle eingehenden Verbindungen an (Mail, VPN, Web, FTP). Der Internetzugriff von der Firma soll NICHT über diese Leitung erfolgen.
Ist es richtig wenn ich die eth0 Leitung in der Firewall in der "globalen Internet Regel" das Rule-Routing auf die Schnittstelle eth0 festlege? Brauche ich in dem Fall wenn von intern keine Pakete über die eth3 gehen sollen überhaupt eine Default Route für die eth3 oder wäre diese eher "kontraproduktiv"? Muss ich für jede Regel an der eth3 Schnittstelle (nur eingehende Verbindungen für VPN, Mail, Web, FTP) das Rule Routing auf eth3 legen oder gibt es eine einfachere (elegantere) Möglichkeit?
Hintergrund: An unserer aktuellen 10er UTM kam es schon mal vor, das z.B. spontan eingehende Pakete einer VPN Verbindung über eth3 ankamen, aber über die eth0 wieder "nach draussen" sprangen. Die Home-Arbeiter fanden das nicht so faszinierend! Wie ist die sauberste Einrichtung der Firewall-Regeln mit oder ohne Rule.- Routing für das beschriebene Szenario? Schonmal danke im Voraus!
Freundliche Grüße
Thomas Lohe

Hallo Thomas,

VPN (IPsec und OPenVPN) sofern an der UTM terminiert können an eine Schnittstelle gebunden werden. Ebenso das Mailrelay (wenn verwendet)
Die restlichen Dienste können entweder per Rule Routing und/oder Source Routing abgebildet werden.

Wenn generell alles über eth0 in das Internet geroutet werden soll, empfiehlt sich das Source Routing.
Einzelne Dienste können dann nachträglich noch via Rule Routing anders gerouted werden.

Zu beachten ist: Rule Routing werden von oben nach unten abgearbeitet, Source Routen werden nach der kleinsten Maske Sortiert (Erst ein /32, /31, /30 usw).
Aber: Rule Routing greift vor Source Routen.

In diesem Beispiel:
Zwei Standardrouten (eine über eth0 und eine über eth3)
Source Route für das gesamte Netz: Quelle: x.x.x.x/xx Gateway: eth0 Ziel: 0.0.0.0/0
FTP, VPN Mail, Eingehend Web via Rule Routing über eth3. (Wenn das VPN auf der UTM terminiert wird und das Mailrelay verwendet wird, können Sie sich da das Rule Routing sparen)
Die eingehenden Portweiterleitungen müssen Sie dann auch nicht Rule Routen.

Alternative Konfiguration mit nur einer Standardroute:
Standardroute über eth0
Source Route für eth3: Quelle: IP der eth3 Schnittstelle(funktioniert nur mit festen IPs) Getway: IP des Gateway von eth3 Ziel: 0.0.0.0/

Dadurch brauchen Sie weder Source noch Rule Routing.
Ausgehender Traffic geht über die Standardroute in das Internet (eth0) und wenn eine Anfrage auf die externe IP von eth3 an der UTM ankommt, routet die Source von eth3 das ganze wieder zurück in das Netz.

Das zweite Szenario funktioniert nur wenn ausschließlich über eth3 eingehender Traffic kommt.

Gruß

Kenneth

Hallo,
die alternative Konfiguration mit nur einer Standardroute trifft wohl unser Szenario am besten. Dazu noch ein paar Fragen:
Mit Standardroute über eth0 ist sicher die "Defaultroute" gemeint!?
Bei der Source Route für eth3 ist doch die Option "Route hinzufügen" (im Gegensatz zu "Default Route hinzufügen" gemeint, oder sehe ich das falsch? Da wir an der eth3 mehrere feste IP´s haben (für unterschiedliche Dienste), werde ich für jede IP an der eth3 diese Route setzen. Danke!
Freundliche Grüße
Thomas Lohe

Hallo Thomas,

Mit Standardroute über eth0 ist sicher die "Defaultroute" gemeint!?

Korrekt

Bei der Source Route für eth3 ist doch die Option "Route hinzufügen" (im Gegensatz zu "Default Route hinzufügen" gemeint, oder sehe ich das falsch?

Ebenfalls korrekt

Da wir an der eth3 mehrere feste IP´s haben (für unterschiedliche Dienste), werde ich für jede IP an der eth3 diese Route setzen. Danke!

Entweder für jede IP eine Route oder aber eine Source Route mit der dementsprechenden Subnetmask (Bsp: x.x.x.x/26)
Gruß
Kenneth