KKeine Bearbeitungszusammenfassung |
|||
(15 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Archivhinweis|UTM/NET/Mutlipathrouting}} | |||
{{DISPLAYTITLE:Multipathrouting}} | |||
{{ | == Informationen == | ||
Letzte Anpassung zur Version: '''11.7''' | |||
<br> | |||
Bemerkung: Artikelanpassung | |||
<br> | |||
Vorherige Versionen: - | |||
<br> | |||
== Einleitung == | == Einleitung == | ||
In diesem HowTo lernen Sie, was Multipathrouting bedeutet und wie Sie es auf einer Securepoint UTM einrichten. Außerdem wird erklärt, wie Sie den Datenverkehr bestimmter Dienste/Endgeräte über eine bestimmte Leitung leiten können. | In diesem HowTo lernen Sie, was Multipathrouting bedeutet und wie Sie es auf einer Securepoint UTM einrichten. Außerdem wird erklärt, wie Sie den Datenverkehr bestimmter Dienste/Endgeräte über eine bestimmte Leitung leiten können. | ||
Zeile 23: | Zeile 26: | ||
Die ppp-Schnittstellen werden so konfiguriert, dass beide eindeutige Zonen besitzen. In diesem Beispiel legen wir uns die Zonen "external-2" und "firewall-external-2" an und weisen diese der ppp1 zu. Die ppp0 besitzt die Zonen "external" und "firewall-external". Die Zonen sind nötig, damit wir später entsprechende Netzwerkobjekte und Regeln anlegen können. | Die ppp-Schnittstellen werden so konfiguriert, dass beide eindeutige Zonen besitzen. In diesem Beispiel legen wir uns die Zonen "external-2" und "firewall-external-2" an und weisen diese der ppp1 zu. Die ppp0 besitzt die Zonen "external" und "firewall-external". Die Zonen sind nötig, damit wir später entsprechende Netzwerkobjekte und Regeln anlegen können. | ||
[[Datei:netzwerkkonfig.png| center| thumb| 550px| <font size= | [[Datei:netzwerkkonfig.png| center| thumb| 550px| <font size=2>Netzwerkkonfiguration</font>]] | ||
<br> | <br> | ||
==== Schritt 2 - Routen ==== | ==== Schritt 2 - Routen ==== | ||
Zeile 29: | Zeile 32: | ||
Da die Leitungen eine unterschiedliche Bandbreite besitzen (50 MBit/s bzw. 25 MBit/s), kann über die Option '''Gewichtung''' eine gleichmäßige Belastung der Leitungen erreicht werden. | Da die Leitungen eine unterschiedliche Bandbreite besitzen (50 MBit/s bzw. 25 MBit/s), kann über die Option '''Gewichtung''' eine gleichmäßige Belastung der Leitungen erreicht werden. | ||
[[Datei:default-routen_s1.png| center| thumb| 550px| <font size= | [[Datei:default-routen_s1.png| center| thumb| 550px| <font size=2>Die angelegten Default-Routen</font>]] | ||
<br> | <br> | ||
==== Schritt 3 - Netzwerkobjekte anlegen ==== | ==== Schritt 3 - Netzwerkobjekte anlegen ==== | ||
Regeln werden in der Securepoint UTM mithilfe von Netzwerkobjekten gebaut. Da standardmäßig keine Netzwerkobjekte für eine zweite Leitung existieren, legen wir diese an. Wir benötigen | Regeln werden in der Securepoint UTM mithilfe von Netzwerkobjekten gebaut. Da standardmäßig keine Netzwerkobjekte für eine zweite Leitung existieren, legen wir diese an. Wir benötigen zum einen das Netzwerkobjekt für das Netzwerk (Internet-2) und zum anderen das Netzwerkobjekt für die Schnittstelle der Firewall in dieser Zone (external-interface-2). Die Netzwerkobjekte sollten so aussehen: | ||
[[Datei:internet-2.png| left| thumb| 300px| <font size= | [[Datei:internet-2.png| left| thumb| 300px| <font size=2>Internet-2-Objekt</font>]] | ||
[[Datei:external-interface-2.png| center| thumb| 300px| <font size= | [[Datei:external-interface-2.png| center| thumb| 300px| <font size=2>external-interface-2-Objekt</font>]] | ||
<br> | <br> | ||
==== Schritt 4 - Regeln anlegen ==== | ==== Schritt 4 - Regeln anlegen ==== | ||
Nun werden die Regeln angelegt. In unserem Beispiel geben wir "any" ins Internet frei. '''Hierbei muss darauf geachtet werden, dass das Internet-Objekt in der Regel mit dem ausgewählten HideNAT-Objekt überein stimmt.''' | Nun werden die Regeln angelegt. In unserem Beispiel geben wir "any" ins Internet frei. '''Hierbei muss darauf geachtet werden, dass das Internet-Objekt in der Regel mit dem ausgewählten HideNAT-Objekt überein stimmt.''' | ||
Zeile 44: | Zeile 48: | ||
<br> | <br> | ||
Die Regeln sehen im Portfilter dann so aus: | Die Regeln sehen im Portfilter dann so aus: | ||
[[Datei:rules-multipath.png| center| thumb| 300px| <font size= | [[Datei:rules-multipath.png| center| thumb| 300px| <font size=2>Regeln im Portfilter</font>]] | ||
<br> | <br> | ||
=== 1.2 Beispielszenario II === | === 1.2 Beispielszenario II === | ||
An eth0 der Firewall ist ein Modem angeschlossen, wobei die Securepoint UTM die Einwahl übernimmt. An eth2 befindet sich eine Fritzbox, welche als Router fungiert. Leitung 1 (ppp0) verfügt über eine Bandbreite von 50 MBit/s und Leitung 2 (eth2) besitzt eine Bandbreite von 25 MBit/s. | An eth0 der Firewall ist ein Modem angeschlossen, wobei die Securepoint UTM die Einwahl übernimmt. An eth2 befindet sich eine Fritzbox, welche als Router fungiert. Die UTM selber besitzt in diesem Netz die 192.168.178.100/24. Leitung 1 (ppp0) verfügt über eine Bandbreite von 50 MBit/s und Leitung 2 (eth2) besitzt eine Bandbreite von 25 MBit/s. | ||
===1.2.1 Einrichtung des Szenarios === | ===1.2.1 Einrichtung des Szenarios === | ||
Zeile 61: | Zeile 65: | ||
[[Datei:route-hint-eth2.png| left| thumb| 300px| <font size=2>Route-Hint-Einstellung eth2</font>]] | [[Datei:route-hint-eth2.png| left| thumb| 300px| <font size=2>Route-Hint-Einstellung eth2</font>]] | ||
[[Datei:default-routen-eth.png| center| thumb| 550px| <font size= | [[Datei:default-routen-eth.png| center| thumb| 550px| <font size=2>Die angelegten Default-Routen</font>]] | ||
<br> | |||
==== Schritt 3 - Netzwerkobjekte anlegen ==== | ==== Schritt 3 - Netzwerkobjekte anlegen ==== | ||
Regeln werden in der Securepoint UTM mithilfe von Netzwerkobjekten gebaut. Da standardmäßig keine Netzwerkobjekte für eine zweite Leitung existieren, legen wir diese an. Wir benötigen, zum einen das Netzwerkobjekt für das Netzwerk (Internet-2) und zum anderen das Netzwerkobjekt für die Schnittstelle der Firewall in dieser Zone (external-interface-2). Die Netzwerkobjekte werden wie in den Bildern angelegt. | Regeln werden in der Securepoint UTM mithilfe von Netzwerkobjekten gebaut. Da standardmäßig keine Netzwerkobjekte für eine zweite Leitung existieren, legen wir diese an. Wir benötigen, zum einen das Netzwerkobjekt für das Netzwerk (Internet-2) und zum anderen das Netzwerkobjekt für die Schnittstelle der Firewall in dieser Zone (external-interface-2). Die Netzwerkobjekte werden wie in den Bildern gezeigt angelegt. | ||
[[Datei:internet-2.png| left| thumb| 300px| <font size= | [[Datei:internet-2.png| left| thumb| 300px| <font size=2>Internet-2-Objekt</font>]] | ||
[[Datei:external-interface-2-eth2.png| center| thumb| 300px| <font size= | [[Datei:external-interface-2-eth2.png| center| thumb| 300px| <font size=2>external-interface-2-Objekt</font>]] | ||
<br> | <br> | ||
==== Schritt 4 - Regeln anlegen ==== | ==== Schritt 4 - Regeln anlegen ==== | ||
Zeile 77: | Zeile 81: | ||
<br> | <br> | ||
Die Regeln sehen im Portfilter dann so aus: | Die Regeln sehen im Portfilter dann so aus: | ||
[[Datei:rules-multipath.png| center| thumb| 300px| <font size= | [[Datei:rules-multipath.png| center| thumb| 300px| <font size=2>Regeln im Portfilter</font>]] | ||
<br> | <br> | ||
=== 2 Routing für bestimmte Endgeräte und Dienste === | === 2 Routing für bestimmte Endgeräte und Dienste === | ||
Zeile 87: | Zeile 91: | ||
Als erstes wird für den Server ein Netzwerkobjekt angelegt, damit wir dieses später in der Regel angeben können. Das Netzwerkobjekt sieht in unserem Beispiel so aus: | Als erstes wird für den Server ein Netzwerkobjekt angelegt, damit wir dieses später in der Regel angeben können. Das Netzwerkobjekt sieht in unserem Beispiel so aus: | ||
[[Datei:netzwerkobjekt-server.png| center| thumb| 550px| <font size= | [[Datei:netzwerkobjekt-server.png| center| thumb| 550px| <font size=2>SBS-Netzwerkobjekt</font>]] | ||
<br> | <br> | ||
==== Schritt 2 - Regel anlegen ==== | ==== Schritt 2 - Regel anlegen ==== | ||
Zeile 93: | Zeile 97: | ||
'''Achtung: Es muss unbedingt darauf beachtet werden, dass das Ziel-Netzwerkobjekt (Internet) mit dem HideNAT-Objekt (external-interface) und der Rule-Routing Schnittstelle (ppp0) überein stimmt. Ansonsten funktioniert das Rule-Routing nicht.''' | '''Achtung: Es muss unbedingt darauf beachtet werden, dass das Ziel-Netzwerkobjekt (Internet) mit dem HideNAT-Objekt (external-interface) und der Rule-Routing Schnittstelle (ppp0) überein stimmt. Ansonsten funktioniert das Rule-Routing nicht.''' | ||
[[Datei:rule-routing-regel.png| center| thumb| 550px| <font size= | [[Datei:rule-routing-regel.png| center| thumb| 550px| <font size=2>Rule-Routing-Regel</font>]] | ||
<br> | <br> | ||
==== Schritt 3 - Regel positionieren ==== | ==== Schritt 3 - Regel positionieren ==== | ||
'''Da das Regelwerk in der Securepoint UTM von oben nach unten abgearbeitet wird, muss die Rule-Routing-Regel unbedingt vor der "globalen" Regel stehen.''' Um sicherzugehen, legen Sie sich am besten eine neue Regelgruppe an, welche Sie im Portfilter ganz oben positionieren. In dieser Regelgruppe werden dann alle Rule-Routing-Regeln erstellt und greifen somit als erstes. | '''Da das Regelwerk in der Securepoint UTM von oben nach unten abgearbeitet wird, muss die Rule-Routing-Regel unbedingt vor der "globalen" Regel stehen.''' Um sicherzugehen, legen Sie sich am besten eine neue Regelgruppe an, welche Sie im Portfilter ganz oben positionieren. In dieser Regelgruppe werden dann alle Rule-Routing-Regeln erstellt und greifen somit als erstes. | ||
[[Datei:rule-position.png| center| thumb| 550px| <font size= | [[Datei:rule-position.png| center| thumb| 550px| <font size=2>Positionierung</font>]] | ||
<br> | |||
Das Rule-Routing kann natürlich auch einzelne Dienste, wie z.B. HTTP, über eine bestimmte Leitung routen. Die Regel muss dann entsprechend angepasst werden. |
Aktuelle Version vom 2. November 2022, 12:20 Uhr
notempty
Informationen
Letzte Anpassung zur Version: 11.7
Bemerkung: Artikelanpassung
Vorherige Versionen: -
Einleitung
In diesem HowTo lernen Sie, was Multipathrouting bedeutet und wie Sie es auf einer Securepoint UTM einrichten. Außerdem wird erklärt, wie Sie den Datenverkehr bestimmter Dienste/Endgeräte über eine bestimmte Leitung leiten können.
Was ist Multipathrouting?
Die Kopplung mehrerer Internetleitungen zu einem logischen "Internet" wird Multipathrouting genannt. Hierbei existieren zwei oder mehr default-Routen auf der Firewall und die Pakete werden entsprechend verteilt.
Neben dem Multipathrouting übernimmt die Securepoint UTM auch die Verteilung des Datenverkehrs, das Loadbalancing. Beim Loadbalancing können Sie für die einzelnen Routen eine gewünschte Gewichtung eintragen. Die Securepoint kann somit beispielsweise zwei (oder mehr) Leitungen, mit einer jeweiligen Bandbreite von z.B. 16 MBit/s und 100 MBit/s, gleichmäßig belasten.
1 Einrichtung
In dieser Anleitung werden zwei typische Aufbaumöglichkeiten erklärt. Zum einen das Multipathrouting mit zwei direkt verbundenen DSL-Leitungen (Szenario I) und zum anderen mit einer DSL-Leitung und einer Router-Verbindung (Szenario 2).
1.1 Beispielszenario I
An der Securepoint sind zwei DSL-Leitungen angeschlossen (ppp0 und ppp1). Leitung 1 (ppp0) verfügt über eine Bandbreite von 50 MBit/s und Leitung 2 (ppp1) besitzt eine Bandbreite von 25 MBit/s.
1.1.1 Einrichtung des Szenarios
Schritt 1 - Zonen
Die ppp-Schnittstellen werden so konfiguriert, dass beide eindeutige Zonen besitzen. In diesem Beispiel legen wir uns die Zonen "external-2" und "firewall-external-2" an und weisen diese der ppp1 zu. Die ppp0 besitzt die Zonen "external" und "firewall-external". Die Zonen sind nötig, damit wir später entsprechende Netzwerkobjekte und Regeln anlegen können.
Schritt 2 - Routen
Damit der Datenverkehr über beide Leitungen geschickt werden kann, benötigen wir pro Leitung eine default-Route. Diese legen Sie sich dem Menüpunkt Netzwerk -> Netzwerkkonfiguration -> Routing an. Da die Leitungen eine unterschiedliche Bandbreite besitzen (50 MBit/s bzw. 25 MBit/s), kann über die Option Gewichtung eine gleichmäßige Belastung der Leitungen erreicht werden.
Schritt 3 - Netzwerkobjekte anlegen
Regeln werden in der Securepoint UTM mithilfe von Netzwerkobjekten gebaut. Da standardmäßig keine Netzwerkobjekte für eine zweite Leitung existieren, legen wir diese an. Wir benötigen zum einen das Netzwerkobjekt für das Netzwerk (Internet-2) und zum anderen das Netzwerkobjekt für die Schnittstelle der Firewall in dieser Zone (external-interface-2). Die Netzwerkobjekte sollten so aussehen:
Schritt 4 - Regeln anlegen
Nun werden die Regeln angelegt. In unserem Beispiel geben wir "any" ins Internet frei. Hierbei muss darauf geachtet werden, dass das Internet-Objekt in der Regel mit dem ausgewählten HideNAT-Objekt überein stimmt.
Bei Ziel = Internet -> HideNAT = external-interface
Bei Ziel = Internet-2 -> HideNAT = external-interface-2
Die Regeln sehen im Portfilter dann so aus:
1.2 Beispielszenario II
An eth0 der Firewall ist ein Modem angeschlossen, wobei die Securepoint UTM die Einwahl übernimmt. An eth2 befindet sich eine Fritzbox, welche als Router fungiert. Die UTM selber besitzt in diesem Netz die 192.168.178.100/24. Leitung 1 (ppp0) verfügt über eine Bandbreite von 50 MBit/s und Leitung 2 (eth2) besitzt eine Bandbreite von 25 MBit/s.
1.2.1 Einrichtung des Szenarios
Schritt 1 - Zonen
Die externen Schnittstellen (ppp0 und eth2) werden so konfiguriert, dass beide eindeutige Zonen besitzen. In diesem Beispiel legen wir uns ebenfalls die Zonen "external-2" und "firewall-external-2" an und weisen diese der eth2 zu. Die ppp0 besitzt die Zonen "external" und "firewall-external". Die Zonen sind nötig, damit wir später entsprechende Netzwerkobjekte und Regeln anlegen können.
Schritt 2 - Routen
Damit der Datenverkehr über beide Leitungen geschickt werden kann, benötigen wir pro Leitung eine default-Route. In diesem Szenario gibt es allerdings aufgrund des Routers vor der eth2 eine Besonderheit: Damit wir in den Routen die eth2 als Gateway-Schnittstelle angeben können, ist es erforderlich, der Firewall das Gateway für diese Schnittstelle mitzuteilen. Das funktioniert über die Option "Route-Hint" in den allgemeinen Einstellungen der eth2. Hier geben wir das Gateway 192.168.178.1 an. Nun lässt sich als Default-Gateway die eth2 angeben. Legen Sie nun die beiden Default-Routen an. Da die Leitungen eine unterschiedliche Bandbreite besitzen (50 MBit/s bzw. 25 MBit/s), kann über die Option Gewichtung eine gleichmäßige Belastung der Leitungen erreicht werden.
Schritt 3 - Netzwerkobjekte anlegen
Regeln werden in der Securepoint UTM mithilfe von Netzwerkobjekten gebaut. Da standardmäßig keine Netzwerkobjekte für eine zweite Leitung existieren, legen wir diese an. Wir benötigen, zum einen das Netzwerkobjekt für das Netzwerk (Internet-2) und zum anderen das Netzwerkobjekt für die Schnittstelle der Firewall in dieser Zone (external-interface-2). Die Netzwerkobjekte werden wie in den Bildern gezeigt angelegt.
Schritt 4 - Regeln anlegen
Nun werden die Regeln angelegt. In unserem Beispiel geben wir "any" ins Internet frei. Hierbei muss darauf geachtet werden, dass das Internet-Objekt in der Regel mit dem ausgewählten HideNAT-Objekt überein stimmt.
Bei Ziel = Internet -> HideNAT = external-interface
Bei Ziel = Internet-2 -> HideNAT = external-interface-2
Die Regeln sehen im Portfilter dann so aus:
2 Routing für bestimmte Endgeräte und Dienste
Da der Datenverkehr bei einem Multipathrouting ohne Weiteres immer von Leitung zu Leitung "springt", kann dies bei bestimmten Szenarien zu Fehlern führen. Beispielsweise muss ein extern stehender Server immer über die selbe Quell-IP angesprochen werden. Um dieses Vorhaben umzusetzen, wird die Funktion "Rule-Routing" genutzt.
Als Beispiel wollen wir den SBS mit der IP 192.168.1.10 immer über die Leitung ppp0 schicken.
2.1 Einrichtung
Schritt 1 - Netzwerkobjekt für den Server
Als erstes wird für den Server ein Netzwerkobjekt angelegt, damit wir dieses später in der Regel angeben können. Das Netzwerkobjekt sieht in unserem Beispiel so aus:
Schritt 2 - Regel anlegen
Nun können wir mit dem Netzwerkobjekt eine Regel definieren. In der Regel geben wir dann das Rule-Routing an und setzen dieses auf ppp0, damit der Server immer über diese Schnittstelle nach außen kommuniziert. Achtung: Es muss unbedingt darauf beachtet werden, dass das Ziel-Netzwerkobjekt (Internet) mit dem HideNAT-Objekt (external-interface) und der Rule-Routing Schnittstelle (ppp0) überein stimmt. Ansonsten funktioniert das Rule-Routing nicht.
Schritt 3 - Regel positionieren
Da das Regelwerk in der Securepoint UTM von oben nach unten abgearbeitet wird, muss die Rule-Routing-Regel unbedingt vor der "globalen" Regel stehen. Um sicherzugehen, legen Sie sich am besten eine neue Regelgruppe an, welche Sie im Portfilter ganz oben positionieren. In dieser Regelgruppe werden dann alle Rule-Routing-Regeln erstellt und greifen somit als erstes.
Das Rule-Routing kann natürlich auch einzelne Dienste, wie z.B. HTTP, über eine bestimmte Leitung routen. Die Regel muss dann entsprechend angepasst werden.