Aus Securepoint Wiki

Multipath Routing

Die Koppelung mehrerer DSL- oder auch anderer Internetanbindungen mit den Securepoint Systemen wird auch Multipath Routing bezeichnet. Multipath Routing sorgt nicht nur für höhere Bandbreiten für den Internet-Zugang, es bietet auch verbesserte Redundanz, besonders dann, wenn unterschiedliche Provider verwendet werden. Der Datenverkehr kann dabei gewichtet und auf mehrere Leitungen verteilt werden.

Bei Ausfall eines Anschlusses schalten die Securepoint Systeme automatisch auf eine andere zur Verfügung stehende Leitung. Dadurch werden die verbliebenen Leitungen zwar stärker belastet, aber die Dienste können weiter ohne oder nur mit geringen Einschränkungen benutzt werden. Ebenso werden bei Wiederherstellung der unterbrochenen Leitung die Dienste automatisch auf die wieder neu erstellte Leitung geschaltet.

Neben dem Multipath Routing übernehmen die Securepoint Lösungen auch das Load Balancing und sorgen für eine optimale Lastverteilung auf die einzelnen Leitungen.

Source Routing

Bei Verwendung von mehreren Internetverbindungen wird der Datenverkehr auf die Leitungen aufgeteilt.

Für manche Anwendungen (z. B. Mailserver, VPN) ist es aber wichtig, dass die Pakete immer über eine Leitung geschickt bzw. empfangen werden, damit die Anwendungen richtig funktionieren und Pakete nicht verworfen werden, weil sie vom falschen Interface empfangen werden. Hierfür müssen Sie dem Rechner, auf dem die Anwendung läuft, eine eindeutige Route zuweisen. Diese Funktion wird Source Routing genannt. Die Route ist also abhängig von der Anwendung.

Checkliste Multipath Routing

Wenn Sie keine detaillierte Anleitung benötigen, könnte Ihnen diese Checkliste beim Konfigurieren des Multipath Routing nützlich sein, damit Sie keine Einstellungen vergessen. Auch bei der Fehlersuche kann die Checkliste abgearbeitet werden.

Inhaltsverzeichnis 1 Szenarien 2 Multipath Routing mit zwei direkten DSL Anschlüssen 2.1 DSL Provider anlegen 2.2 DSL Schnittstellen anlegen 2.3 Netzwerkobjekte anlegen 2.3.1 Zweites Internet Netzwerkobjekt 2.3.2 Externes Interface Netzwerkobjekt 2.4 Hide-NAT Regeln aufstellen 2.5 Routen erstellen und Gewichtung angeben 3 Multipath mit direktem DSL Anschluss und Router Zugang 3.1 Netzwerk konfigurieren 3.2 Hide-NAT 3.3 Routing und Gewichtung 3.4 Nachteile des Szenario2

Szenarien

Die Anbindung der Firewall an zwei Internetverbindungen kann in vielen Varianten geschehen.

In dieser Anleitung werden zwei davon vorgestellt. Beide Szenarien gehen davon aus, dass es sich um ADSL Verbindungen handelt. Es wären auch ISDN oder VDSL oder eine Mischung möglich.

Im Szenario 1 werden beide Leitungen über jeweils ein Modem direkt mit der Firewall verbunden.

Im Szenario 2 wird die Firewall einmal direkt mit einem Modem verbunden. Die zweite Verbindung wird über einen Router hergestellt, der seinerseits mit einem Modem verbunden ist.

Multipath Routing mit zwei direkten DSL Anschlüssen

Diese Konfiguration sieht vor, dass die Securepoint Appliance direkt an die DSL Modems angeschlossen ist und die DSL-Zugänge direkt verwaltet.

DSL Provider anlegen

Um eine Multipath-Umgebung mit zwei DSL Anschlüssen zu konfigurieren, müssen Sie zunächst zwei DSL Provider anlegen.

• Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdownmenü den Eintrag Netzwerk Konfiguration.
• Wechseln Sie zur Registerkarte DSL Provider.
• Klicken Sie auf DSL Provider hinzufügen.
• Vergeben Sie im Feld Name einen Namen für den DSL Provider.
• Im Feld Login ist Ihr Benutzername beim Provider einzutragen.
• Im Feld Kennwort ist Ihr Kennwort zum Benutzeraccount beim Provider einzutragen.

Wiederholen Sie die Eingabe im Feld Kennwort bestätigen.

• Deaktivieren Sie die Checkbox Standard Route.
• Wählen Sie eine Uhrzeit für die Zwangstrennung, wenn der Provider eine Trennung nach 24 Stunden vorsieht.
• Klicken Sie auf Speichern.
• Wiederholen Sie diesen Vorgang für den zweiten DSL Provider. Achten Sie darauf, auch hier die Funktion Standardroute zu deaktivieren.

DSL Schnittstellen anlegen

Damit die Appliance die Verbindung zum Internet Provider aufbauen kann, werden noch zwei DSL Schnittstellen benötigt. Je nachdem, welches Protokoll von den Internet Providern unterstützt wird, benötigen Sie zwei PPPoE oder zwei PPTP Interfaces (oder jeweils eins). In Deutschland wird üblicherweise PPPoE verwendet, in Österreich hingegen PPTP.

• Wechseln Sie im Dialog Netzwerkkonfiguration auf die Registerkarte Schnittstellen.
• Klicken Sie auf den Button Schnittstellen hinzufügen.

Es öffnet sich der Schnittstellen Assistent.

• Wählen Sie hier den gewünschten Schnittstellentyp durch Markieren des entsprechenden Radiobuttons.
• Klicken Sie auf Weiter.
• Die DSL Schnittstellen werden direkt an ein physikalisches Interface gebunden. Wählen Sie dieses im Feld Schnittstelle aus. Benutzen Sie nicht die Schnittstelle eth1, weil diese ab Werk für das interne Netz vorgesehen ist. Sie können eth0 (externes Netzwerk) und wenn Sie eine Appliance mit nur drei Schnittstellen besitzen eth2 (DMZ) verwenden.
• Das Feld PPP-Schnittstelle ist schon vorbelegt. Die Schnittstellen werden mit ppp und fortlaufender Nummer bezeichnet.
• Wählen Sie im Feld DSL-Provider einen der zuvor angelegten Internet Service Provider.
• Klicken Sie dann auf Fertigstellen.
• Klicken Sie im vorherigen Dialog Aktualisiere Schnittstellen.

Für ein PPTP Interface müssen mehr Einstellungen vorgenommen werden.

• Wählen Sie im Schnittstellen Assistenten den Interfacetyp PPTP.
• Klicken Sie auf Weiter.
• Wählen Sie unter Schnittstelle ein Interface Ihrer Appliance. Beachten Sie, dass eth1 für das interne Netzwerk vorgesehen ist.

• Im Feld Lokale Ethernet IP-Adresse ist die externe IP-Adresse der Appliance einzutragen. Üblicherweise ist das bei Gebrauch eines ATM Modems die 10.0.0.140.
• Setzen Sie im Feld Maske die Subnetzmaske 255.255.255.0/24 ein.
• Die Modem IP-Adresse ist bei ATM Modems auf werksseitig auf 10.0.0.138 gesetzt.
• Im Feld PPP-Schnittstelle ist schon eine Bezeichnung angegeben. Die Interfaces werden automatisch mit ppp und laufender Nummer bezeichnet.
• Wählen Sie unter DSL Provider den entsprechenden Internet Service Provider.
• Klicken Sie auf Fertigstellen.
• Klicken Sie im vorherigen Dialog Aktualisiere Schnittstellen.

Bei Verwendung von zwei PPTP Verbindungen wäre folgende Einstellung denkbar:

ppp0

lokale Ethernet IP-Adresse 10.0.0.140

Maske 255.255.255.128/25

ppp1

lokale Ethernet IP-Adresse 10.0.0.120

Maske 255.255.255.128/25

Netzwerkobjekte anlegen

Bei Verwendung von zwei PPTP Verbindungen wäre folgende Einstellung denkbar:

Um für beide DSL Leitungen getrennte Regeln aufstellen zu können, müssen noch ein weiteres Netzwerkobjekt für das Internet und ein Netzwerkobjekt für das zweite externe Interface angelegt werden.

Da Zonen nur einmal vergeben werden können, müssen Sie hier eine Zone nutzen, die noch nicht verwendet wurde z. B. dmz2. Eine weitere Möglichkeit wäre im Bereich Netzwerk -> Zonen eine neue Zone anzulegen.

Zweites Internet Netzwerkobjekt

• Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdownmenü auf den Eintrag Netzwerkobjekte.

Es öffnet sich der Dialog Netzwerkobjekte mit einer Liste aller angelegten Netzwerkobjekte. Einige Objekte sind ab Werk und durch den Installationsassistenten angelegt.

• Um ein weiteres Internet Objekt anzulegen, klicken Sie auf den Button Host/Netz hinzufügen.
• Im Dialog Host/Netz hinzufügen tragen Sie eine Bezeichnung Im Feld Name ein.
• Wählen Sie als Typ Netzwerk aus.
• Im Feld IP-Adresse tragen sie 0.0.0.0 ein und als Netzwerkmaske die 0.0.0.0/0.
• Als Zone wählen Sie dmz2.
• Belassen Sie die NAT-IP Funktion auf Aus.
• Klicken Sie auf Speichern.

Externes Interface Netzwerkobjekt

Legen Sie nun ein weiteres Netzwerkobjekt für das zweite externe Interface an. Für das erste ist schon ab Werk ein Netzwerkobjekt angelegt. Auch hier muss eine andere Zone als firewall-external gewählt, da diese schon vom ersten externen Interface verwendet wird. Z. B. firewall-dmz2 Eine weitere Möglichkeit wäre im Bereich Netzwerk -> Zonen eine neue Zone anzulegen.

• Klicken Sie im Dialog Netzwerkobjekte auf den Button Schnittstelle hinzufügen.
  

  

  Netzwerkobjekt für das zweite externe Interface mit dynamischer Adresse

• Geben Sie im öffnenden Dialog im Feld Name eine Bezeichnung für das externe Interface an.
• Das Feld Typ.
  • Wählen Sie Dynamische Adresse, wenn Sie vom Internet Service Provider bei jeder Einwahl eine andere IP-Adresse zugewiesen bekommen.
  • Wählen Sie Statische Adresse, wenn Ihr Internet Service Provider eine feste IP-Adresse zugeteilt hat. Tragen Sie dann die IP-Adresse im Feld IP-Adresse ein.
• Wählen Sie als Zone DMZ2-external.
• Klicken Sie auf Speichern.

Hide-NAT Regeln aufstellen

Damit die Adressen über beide Verbindungen mit der Funktion Hide-NAT ersetzt werden, müssen hierfür Regeln angelegt werden. Diese Einstellungen können Sie allerdings nur vornehmen, wenn ein Netzwerkobjekt für das interne Netzwerk vorliegt. Die ist in der Regel durch den Installationsassistenten bereits angelegt.

• Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdownmenü auf den Eintrag Hide-NAT.
• Eine Hide-NAT Regel für das interne Netzwerk in das Internet ist schon durch den Installationsassistenten angelegt. Hier ist aber noch eine falsche Schnittstelle hinterlegt.

Klicken Sie auf das Werkzeugschlüsselsymbol in der Zeile der entsprechenden Regel. Der Dialog Hide-NAT editieren erscheint.

• Der Typ steht auf Include. Das bedeutet, dass bei dieser Verbindung von der Quelle zum Ziel die IP-Adresse durch NAT mit der Schnittstelle IP ersetzt wird.
• Die Quelle ist hier das interne Netzwerk.
• Wählen Sie als Schnittstelle das erste PPPoE Interface (ppp0).
• Als Ziel wählen Sie das Internet.
• Die Position belassen Sie aus dem voreingestellten Wert.
• Klicken Sie auf Speichern.

• Klicken Sie zum Anlegen einer weiteren Regel auf Hinzufügen.
• Wählen Sie diesmal als Schnittstelle das zweite PPPoE Interface (ppp1) und als Ziel das Netzwerkobjekt Internet_2.

Stellen Sie die übrigen Parameter wie gehabt ein.

• Die Position sollte direkt nach der eben geänderten sein. In diesem Beispiel wird sie der Liste angefügt.
• Klicken Sie auf Speichern.

• Anschließend müssen Sie die Regeln aktualisieren, damit die Änderungen übernommen werden.

Klicken Sie dazu auf Aktualisiere Regeln.

Routen erstellen und Gewichtung angeben

Für beide Verbindungen müssen Default Routen eingetragen werden. Diese Einstellung wurde nicht bei Erstellung der DSL-Provider gemacht, da sonst die zweite Verbindung die Default Route der ersten überschrieben hätte.

• Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdownmenü auf den Eintrag Netzwerkkonfiguration.

• Wechseln Sie auf die Registerkarte Routing.
• Klicken Sie auf den Button Standard Route hinzufügen.
• Geben Sie im Feld Gateway ein PPPoE Interface an.
• Belassen Sie Ziel Netzwerk und Ziel Maske auf 0.0.0.0 und 0.0.0.0/0. Mit dieser Einstellung gelten alle Adressen als Ziel.
• In diesem Beispiel ist für die Gewichtung 1 gewählt.

Wenn Sie Internetverbindungen mit unterschiedlicher Bandbreite benutzen, sollten Sie die Gewichtung entsprechend anpassen, damit die Appliance eine optimale Lastverteilung vornehmen kann. Die Gewichtung errechnet sich aus dem Faktor der beiden Zahlen. Eine Route mit Gewichtung 2 wird also doppelt so stark belastet wie eine Route mit Gewichtung 1.

• Klicken Sie auf Speichern und wiederholen Sie den Vorgang. Setzen Sie dabei das zweite PPPoE Interface als Gateway ein.
• Betätigen Sie abschließend den Button Aktualisiere Schnittstellen.

Multipath mit direktem DSL Anschluss und Router Zugang

In diesem Szenario verwaltet die Securepoint einen DSL-Zugang. Ein zweiter DSL Anschluss wird über einen Router hergestellt.

Die Konfiguration sieht prinzipiell genauso aus, wie die Konfiguration mit zwei direkten DSL Zugängen. Es muss allerdings nur ein PPPoE Interface erstellt und nur ein DSL Provider angelegt werden.

Netzwerk konfigurieren

Für den DSL Zugang muss ein Provider sowie ein PPPoE Interface auf der Appliance angelegt werden (vgl. DSL Provider anlegen und DSL Schnittstellen anlegen ). Dieser wird über ppp0 an das Interface eth0 gebunden. Der Router wird dann an den Anschluss eth2 gebunden. Wenn Sie eine Appliance mit mehr als drei Interfaces besitzen, können Sie auch ein anderes Interface verwenden.

• Schließen Sie den Router an den eth2 Anschluss der Firewall an.
• Gehen Sie im Navigationsmenü auf den Punkt Netzwerk und klicken Sie im Dropdownmenü auf den Eintrag Netzwerkkonfiguration.
• Klicken Sie auf der Registerkarte Schnittstellen in der Zeile des Interface eth2 auf das Werkzeugschlüsselsymbol. Es öffnet sich der Dialog Schnittstelle ändern für eth2.
• Tragen Sie im Feld IP eine IP-Adresse für die Schnittstelle ein. Diese muss aus dem Netzwerk des Routers stammen.
• Klicken Sie dann auf Hinzufügen und anschließend auf Speichern.
• Klicken Sie im vorherigen Dialog auf Aktualisiere Schnittstellen.

Hide-NAT

Auch hier brauchen Sie zwei Netzwerkobjekte für das Internet, bevor Sie die NAT Regeln anlegen. Die Konfiguration dieser lesen Sie bitte im Kapitel Netzwerkobjekte anlegen nach.

• Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdownmenü auf den Eintrag Hide-NAT.

• Eine Hide-NAT Regel für das interne Netzwerk in das Internet ist schon durch den Installationsassistenten angelegt. Hier ist aber noch eine falsche Schnittstelle hinterlegt.

Klicken Sie auf das Werkzeugschlüsselsymbol in der Zeile der entsprechenden Regel. Der Dialog Hide-NAT editieren erscheint.

• Der Typ steht auf Include. Das bedeutet, dass bei dieser Verbindung von der Quelle zum Ziel die IP-Adresse durch NAT mit der Schnittstellen IP ersetzt wird.
• Die Quelle ist hier das interne Netzwerk.
• Wählen Sie als Schnittstelle das PPPoE Interface (ppp0).
• Als Ziel wählen Sie das Internet.
• Die Position belassen Sie auf den voreingestellten Wert.
• Klicken Sie auf Speichern.

• Klicken Sie zum Anlegen einer weiteren Regel auf Hinzufügen.
• Wählen Sie diesmal als Schnittstelle das Interface (eth2), an welches der Router angeschlossen ist. Als Ziel wählen Sie das Netzwerkobjekt Internet_2.

Stellen Sie die übrigen Parameter wie gehabt ein.

• Die Position sollte direkt nach der eben geänderten sein. In diesem Beispiel wird sie der Liste angefügt.
• Klicken Sie auf Speichern.

• Anschließend müssen Sie die Regeln aktualisieren, damit die Änderungen übernommen werden.

Klicken Sie dazu auf Aktualisiere Regeln.

Routing und Gewichtung

Auch hier müssen Default Routen gelegt werden Routen erstellen und Gewichtung angeben.

• Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdownmenü auf den Eintrag Netzwerkkonfiguration.

• Wechseln Sie auf die Registerkarte Routing.
• Klicken Sie auf den Button Standard Route hinzufügen.
• Geben Sie im Feld Gateway ein PPPoE Interface an.
• Belassen Sie Ziel Netzwerk und Ziel Maske auf 0.0.0.0 und 0.0.0.0/0. Mit dieser Einstellung gelten alle Adressen als Ziel.
• In diesem Beispiel ist für die Gewichtung 1 gewählt.
• Klicken Sie auf Speichern.
• Klicken Sie ein weiteres Mal auf Standard Route hinzufügen.
• Setzen Sie im Feld Gateway die interne IP-Adresse des Routers ein. In diesem Beispiel 192.168.130.1.
• Tragen Sie eine geeignete Gewichtung ein.
• Klicken Sie auf Speichern.
• Betätigen Sie abschließend den Button Aktualisiere Schnittstellen.

Nachteile des Szenario2

Diese Konfiguration hat im Gegensatz zu der Konfiguration mit zwei direkten DSL Zugängen den Nachteil, dass die Appliance nicht bemerkt, wenn die DSL Leitung des Routers ausfällt. Die Appliance würde weiterhin versuchen die Datenpakete über den Router zu senden, obwohl dieser keine Verbindung zum Internet hat.

Werden die DSL Anschlüsse direkt von der Appliance verwaltet, wird der Ausfall einer Leitung vom System bemerkt werden. Die Firewall wird dann den gesamten Datenverkehr über den noch bestehenden Zugang leiten. Dies belastet zwar die noch bestehende Leitung, doch bricht der Zugang nicht ganz ab. Wird die Verbindung wieder aufgebaut, wird die Last wieder auf beide Zugänge verteilt.