UTM/NET/Mutlipathrouting: Unterschied zwischen den Versionen

Version vom 2. November 2022, 12:19 Uhr

Multipathrouting auf der UTM einrichten

Letzte Anpassung: 11.2022

Neu:

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

11.7

Vorbemerkung

Allgemein

In diesem How-To wird erklärt, was Multipathrouting bedeutet und wie es auf einer Securepoint UTM eingerichtet werden kann. Außerdem wird beschrieben, wie der Datenverkehr bestimmter Dienste/Endgeräte über eine bestimmte Leitung geleitet werden kann.

Was ist Multipathrouting?

Die Kopplung mehrerer Internetleitungen zu einem logischen "Internet" wird Multipathrouting genannt. Hierbei existieren zwei oder mehr default-Routen auf der Firewall und die Pakete werden entsprechend verteilt. Neben dem Multipathrouting übernimmt die Securepoint UTM auch die Verteilung des Datenverkehrs (Loadbalancing). Beim Loadbalancing kann für die einzelnen Routen eine gewünschte Gewichtung eingetragen werden. Die Securepoint UTM kann somit beispielsweise zwei, oder mehr Leitungen mit einer jeweiligen Bandbreite von z.B. 16 MBit/s und 100 MBit/s, gleichmäßig belasten.

Einrichtung

In dieser Anleitung werden zwei typische Aufbaumöglichkeiten erklärt. Zum einen das Multipathrouting mit zwei direkt verbundenen DSL-Leitungen (Szenario I) und zum anderen mit einer DSL-Leitung und einer Router-Verbindung (Szenario 2).

Beispielszenario I

An der Securepoint UTM sind zwei DSL-Leitungen angeschlossen (wan0 und wan1). Leitung 1 (wan0) verfügt über eine Bandbreite von 500 MBit/s und Leitung 2 (wan1) besitzt eine Bandbreite von 250 MBit/s.

Szenario 1, Schritt 1 - Zonen

Die PPP-Schnittstellen werden so konfiguriert, dass beide eindeutige Zonen besitzen. In diesem Beispiel legen wir die Zonen "external-2" und "firewall-external-2" an und weisen sie der Schnittstelle wan1 zu. Die wan0 besitzt die Zonen "external" und "firewall-external". Die Zonen sind nötig, damit später entsprechende Netzwerkobjekte und Regeln angelegt werden können.

UTM v12.6 Mutlipathrouting Szenario1 Schritt 1.png

Szenario 1, Netzwerkschnittstellen

Szenario 1, Schritt 2 - Routen

Damit der Datenverkehr über beide Leitungen geschickt werden kann, wird pro Leitung eine Default-Route benötigt. Diese können unter Netzwerk Netzwerkkonfiguration Bereich Routing angelegt werden. Da die Leitungen eine unterschiedliche Bandbreite besitzen (500 MBit/s bzw. 250 MBit/s), kann über die Option Gewichtung eine gleichmäßige Belastung der Leitungen erreicht werden.

UTM v12.6 Mutlipathrouting Szenario1 Schritt 2.png

Szenario 1, Routing

Szenario 1, Schritt 3 - Netzwerkobjekte anlegen

Regeln werden in der Securepoint UTM mithilfe von Netzwerkobjekten unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen angelegt. Da standardmäßig keine Netzwerkobjekte für eine zweite Leitung existieren, müssen diese nun angelegt werden. Wir benötigen zum einen das Netzwerkobjekt für das Netzwerk (Internet-2) und zum anderen das Netzwerkobjekt für die Schnittstelle der Firewall in dieser Zone (external-interface-2).
Die Netzwerkobjekte sollten wie folgt aussehen:

Name:

Internet-2

Namen vergeben

UTM v12.6 Mutlipathrouting Szenario1 Schritt 3 Internet.png

Internet-2-Objekt

Typ:

Typen im Drop-down-Menü auswählen

Adresse:

0.0.0.0/0

Netz-IP für das gesamte Internet

Zone:

Angelegte Zone auswählen

Gruppen:

Speichern

Hier klicken um direkt das nächste Netzwerkobjekt anzulegen

Name:

external-interface-2

Namen vergeben

UTM v12.6 Mutlipathrouting Szenario1 Schritt 3 Interface.png

external-interface-2-Objekt

Typ:

Typen im Drop-down-Menü auswählen

Adresse:

Wan1 als Schnittstelle auswählen

Zone:

Angelegte Zone auswählen

Gruppen:

Speichern und schließen

Hier klicken um die Anlage der Netzwerkobjekte abzuschließen

Szenario 1, Schritt 4 - Regeln anlegen

Nun werden die Regeln angelegt. In diesem Beispiel muss "default-internet" ins Internet freigegeben werden.

Hierbei muss darauf geachtet werden, dass das Internet-Objekt in der Regel mit dem ausgewählten HideNAT-Objekt überein stimmt!
Die Regeln sehen dann wie folgt aus:

UTM v12.6 Mutlipathrouting Szenario1 Schritt 4.png

Regeln im Paketfilter

#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
9	internal-network	internet	any	HN	Accept	Ein
10	internal-network	internet-2	any	HN	Accept	Ein

Beispielszenario II

An LAN0 der Firewall ist ein Modem angeschlossen, wobei die Securepoint UTM die Einwahl übernimmt. An LAN2 befindet sich eine Fritzbox, welche als Router fungiert. Leitung 1 (wan0) verfügt über eine Bandbreite von 500 MBit/s und Leitung 2 (LAN2) besitzt eine Bandbreite von 250 MBit/s.

Szenario 2, Schritt 1 - Zonen

Die externen Schnittstellen (wan0 und LAN2) werden so konfiguriert, dass beide eindeutige Zonen besitzen. In diesem Beispiel werden ebenfalls die Zonen "external-2" und "firewall-external-2" angelegt und LAN2 zugewiesen. Die wan0 besitzt die Zonen "external" und "firewall-external". Die Zonen sind nötig, damit später entsprechende Netzwerkobjekte und Regeln angelegt werden können.

Szenario 2, Schritt 2 - Routen

MTU:

1500

Default

UTM v12.6 Mutlipathrouting Szenario2 Schritt 2 Schnittstelle.png

Route-Hint-Einstellung LAN2

Autonegotion:

Ein

Muss aktiviert werden

Route Hint IPv4:

192.168.178.1/---

Hier die IPv4-Adresse angeben

Route Hint IPv6:

/---

Falls vorhanden, hier die IPv6-Adresse angeben

So sehen dann die angelegten Defaul-Routen aus.

UTM v12.6 Mutlipathrouting Szenario2 Schritt 2 Routing.png

Angelegte Default-Routen

Szenario 2, Schritt 3 - Netzwerkobjekte anlegen

Regeln werden in der Securepoint UTM mithilfe von Netzwerkobjekten unter Schaltfläche Objekt hinzufügen angelegt. Da standardmäßig keine Netzwerkobjekte für eine zweite Leitung existieren, müssen diese nun angelegt werden. Wir benötigen zum einen das Netzwerkobjekt für das Netzwerk (Internet-2) und zum anderen das Netzwerkobjekt für die Schnittstelle der Firewall in dieser Zone (external-interface-2).
Die Netzwerkobjekte sollten wie folgt aussehen:

Name:

Internet-2

Namen vergeben

Internet-2-Objekt

Typ:

Typen im Drop-down-Menü auswählen

Adresse:

0.0.0.0/0

Netz-IP für das gesamte Internet

Zone:

Angelegte Zone auswählen

Gruppen:

Speichern

Hier klicken um direkt das nächste Netzwerkobjekt anzulegen

Name:

external-interface-2

Namen vergeben

external-interface-2-Objekt

Typ:

Typen im Drop-down-Menü auswählen

Schnittstelle:

Wan1 als Schnittstelle auswählen

Zone:

Angelegte Zone auswählen

Gruppen:

Speichern und schließen

Hier klicken um die Anlage der Netzwerkobjekte abzuschließen

Szenario 2, Schritt 4 - Regeln anlegen

Nun werden die Regeln angelegt. In diesem Beispiel muss "default-internet" ins Internet freigegeben werden.

Hierbei muss darauf geachtet werden, dass das Internet-Objekt in der Regel mit dem ausgewählten HideNAT-Objekt überein stimmt!
Die Regeln sehen dann wie folgt aus:

Regeln im Paketfilter

#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
9	internal-network	internet	any	HN	Accept	Ein
10	internal-network	internet-2	any	HN	Accept	Ein

Routing für bestimmte Endgeräte und Dienste

Da der Datenverkehr bei einem Multipathrouting ohne Weiteres immer von Leitung zu Leitung "springt", kann dies bei bestimmten Szenarien zu Fehlern führen. Beispielsweise muss ein extern stehender Server immer über die selbe Quell-IP angesprochen werden. Um dieses Vorhaben umzusetzen, wird die Funktion "Rule-Routing" genutzt. Als Beispiel soll der SBS mit der IP 203.0.113.203 immer über die Leitung wan0 geschickt werden.

Schritt 1 - Netzwerkobjekt für den Server

Als erstes wird für den Server ein Netzwerkobjekt angelegt, damit dieses später in der Regel angegeben werden kann.
Das Netzwerkobjekt sieht in diesem Beispiel so aus:

Name:

Server

Namen vergeben

UTM v12.6 Mutlipathrouting Routing Schritt 1.png

SBS-Netzwerkobjekt

Typ:

Den Typen Host auswählen

Adresse:

203.0.113.0/---

IP-Adresse angeben

Zone:

Als Zone "internal" auswählen

Gruppen:

Schritt 2 - Regel anlegen

Nun kann mit dem Netzwerkobjekt eine Regel definiert werden. In der Regel muss dann das Rule-Routing angegeben werden und auf wan0 gesetzt werden, damit der Server immer über diese Schnittstelle nach außen kommuniziert. notempty

Es muss unbedingt darauf geachtet werden, dass das Ziel-Netzwerkobjekt (Internet) mit dem HideNAT-Objekt (external-interface) und der Rule-Routing Schnittstelle (wan0) überein stimmt! Ansonsten funktioniert das Rule-Routing nicht.

Aktiv:

Ein

Die Regel muss aktiv sein

UTM v12.6 Mutlipathrouting Routing Schritt 2.png

Rule-Routing-Regel

Quelle:

Server

Server auswählen

Ziel:

Internet

Als Ziel das "Internet" angeben

Dienst:

any

"any"

Aktion:

"Accept"

Gruppen:

"Rule-Routing"

NAT

Typ:

Unbedingt auswählen

Netzwerkobjekt:

external-interface

"external-interface"

Dienst:

Extras

Rule Routing:

wan0

Schnittstelle angeben

QOS:

Zeitprofil:

Hinzufügen und schließen

Hier klicken um die Regel hinzuzufügen

Schritt 3 - Regel positionieren

Da das Regelwerk in der Securepoint UTM von oben nach unten abgearbeitet wird, muss die Rule-Routing-Regel unbedingt vor der "globalen" Regel stehen. Um sicherzugehen, sollte am besten eine neue Regelgruppe angelegt werden, welche im Portfilter ganz oben positioniert wird. In dieser Regelgruppe werden dann alle Rule-Routing-Regeln erstellt und greifen somit als erstes.

Positionierung

Das Rule-Routing kann natürlich auch einzelne Dienste, wie z.B. HTTP, über eine bestimmte Leitung "routen". Die Regel muss dann entsprechend angepasst werden.

@@ Zeile 1: / Zeile 1: @@
-#WEITERLEITUNG [[UTM/NET/Mutlipathrouting v11.7]]
+{{Set_lang}}
+{{#vardefine:headerIcon|spicon-utm}}
+{{:UTM/NET/Mutlipathrouting.lang}}
+</div> {{TOC2}}
+{{Header|11.2022|
+* {{#var:Layoutanpassung}}
+|[[UTM/NET/Mutlipathrouting_v11.7| 11.7]]
+}}
+----
+<div class=h2>{{#var:Vorbemerkung}}</div>
+<div class="Einrücken">
+'''{{#var:Allgemein}}'''<br>
+<p>{{#var:Allgemein--desc}} </p>
+<br>
+'''{{#var:Was ist Multipathrouting}}'''<br>
+<p>{{#var:Was ist Multipathrouting--desc}} </p>
+<br>
+'''{{#var:Einrichtung}}'''<br>
+<p>{{#var:Einrichtung--desc}} </p>
+<br clear=all></div>
+{| class="sptable2 pd5 zh1 Einrücken"
+|- class="Leerzeile"
+| colspan="3" |
+== {{#var:Beispielszenario}} I ==
+|- class="Leerzeile"
+| colspan="3" |
+{{#var:Beispielszenario 1--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" |  {{h3| {{#var:Zonen}} | {{#var:Szenario 1, Schritt 1}} }}
+|- class="Leerzeile"
+| colspan="3" |
+{{#var:Szenario 1, Schritt 1--desc}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:Szenario 1, Schritt 1--Bild}} |{{#var:Szenario 1, Schritt 1--cap}} }}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{h3| {{#var:Routen}} | {{#var:Szenario 1, Schritt 2}} }}
+|- class="Leerzeile"
+| colspan="3" |
+{{#var:Szenario 1, Schritt 2--desc}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:Szenario 1, Schritt 2--Bild}} |{{#var:Szenario 1, Schritt 2--cap}} }}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{h3| {{#var:Netzwerkobjekte anlegen}} | {{#var:Szenario 1, Schritt 3}} }}
+|- class="Leerzeile"
+| colspan="3" |
+{{#var:Szenario 1, Schritt 3--desc}}
+|-
+| {{b|Name:}} || {{ic|Internet-2|class=available}} || {{#var:Namen vergeben}}
+| class="Bild" rowspan="7" | {{Bild| {{#var:Szenario 1, Schritt 3--Bild}} |{{#var:Szenario 1, Schritt 3--cap}} }}
+|-
+| {{b|{{#var:Typ}}:}} || {{Button|{{#var:Netzwerk (Adresse)}}|dr|class=available}} || {{#var:Typ--desc}}
+|-
+| {{b|{{#var:Adresse}}:}} || {{ic|0.0.0.0/0|class=available}} || {{#var:IP-Adresse eintragen}}
+|-
+| {{b|Zone:}} || {{Button|external-2|dr|class=available}} || {{#var:Angelegte Zone auswählen}}
+|-
+| {{b|{{#var:Gruppen}}:}} || {{ic| |cb|class=available}} || {{#var:Kann leer bleiben}}
+|- class="Leerzeile"
+| {{Button|{{#var:Speichern}}}} || colspan="2" | {{#var:Speichern--desc}}
+|- class="Leerzeile"
+|
+|-
+| {{b|Name:}} || {{ic|external-interface-2|class=available}} || {{#var:Namen vergeben}}
+| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt hinzufügen Bild 2}} |{{#var:Netzwerkobjekt hinzufügen Bild 2--cap}} }}
+|-
+| {{b|{{#var:Typ}}:}} || {{Button|{{#var:Dynamische Schnittstelle}}|dr|class=available}} || {{#var:Typ--desc}}
+|-
+| {{b|{{#var:Adresse}}:}} || {{Button|wan1|dr|class=available}} || {{#var:Wan1 als Schnittstelle auswählen}}
+|-
+| {{b|Zone:}} || {{Button|firewall-external-2|dr|class=available}} || {{#var:Angelegte Zone auswählen}}
+|-
+| {{b|{{#var:Gruppen}}:}} || {{ic| |cb|class=available}} || {{#var:Kann leer bleiben}}
+|- class="Leerzeile"
+| {{Button|{{#var:Speichern und schließen}} }} || colspan="2" | {{#var:Speichern und schließen--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{h3| {{#var:Regeln anlegen}} | {{#var:Szenario 1, Schritt 4}} }}
+|- class="Leerzeile"
+| colspan="3" |
+{{#var:Szenario 1, Schritt 4--desc}}
+| class="Bild" rowspan="3" | {{Bild| {{#var:Szenario 1, Schritt 4--Bild}} |{{#var:Szenario 1, Schritt 4--cap}} }}
+|- class="blank"
+| colspan="3" class="borderless" |
+{| class="sptable2 spezial pd5 tr--bc__white zh1"
+|- class="bold small no1cell"
+| || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
+|-
+| {{spc|drag|o|-}} || 9 || {{spc|network|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|other|o|-}} any || {{Kasten|HN|blau|title=external-interface}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+|-
+| {{spc|drag|o|-}} || 10 || {{spc|network|o|-}} internal-network || {{spc|world|o|-}} internet-2 || {{spc|other|o|-}} any || {{Kasten|HN|blau|title=external-interface}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+|}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" |
+== {{#var:Beispielszenario}} II ==
+|- class="Leerzeile"
+| colspan="3" |
+{{#var:Beispielszenario 2--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{h3| {{#var:Zonen}} | {{#var:Szenario 2, Schritt 1}} }}
+|- class="Leerzeile"
+| colspan="3" |
+{{#var:Szenario 2, Schritt 1--desc}}
+|- class="Leerzeile"
+| colspan="3" | {{h3| {{#var:Routen}} | {{#var:Szenario 2, Schritt 2}} }}
+|- class="Leerzeile"
+| colspan="3" |
+{{#var:Szenario 2, Schritt 2--desc}}
+|-
+| {{b|MTU:}} || {{ic|1500|class=mw8}} || Default
+| class="Bild" rowspan="5" | {{Bild| {{#var:Szenario 2, Schritt 2--Bild}} |{{#var:Szenario 2, Schritt 2--cap}} }}
+|-
+| {{b|Autonegotion:}} || {{ButtonAn|{{#var:ein}} }} || {{#var:Muss aktiviert werden }}
+|-
+| {{b|Route Hint IPv4:}} || {{ic|192.168.178.1|ip-rechts|class=mw11}} || {{#var:Hier die IPv4-Adresse angeben}}
+|-
+| {{b|Route Hint IPv6:}} || {{ic| |ip-rechts|class=mw11}} || {{#var:Falls vorhanden, hier die IPv6-Adresse angeben }}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{#var:So sehen dann die angelegten Defaul-Routen aus}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:So sehen dann die angelegten Defaul-Routen aus--Bild}} |{{#var:So sehen dann die angelegten Defaul-Routen aus--cap}} }}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{h3| {{#var:Netzwerkobjekte anlegen}} | {{#var:Szenario 2, Schritt 3}} }}
+|- class="Leerzeile"
+| colspan="3" | {{#var:Szenario 1, Schritt 3--desc}}
+|-
+| {{b|Name:}} || {{ic|Internet-2|class=available}} || {{#var:Namen vergeben}}
+| class="Bild" rowspan="7" | {{Bild| {{#var:Szenario 1, Schritt 3--Bild}} |{{#var:Szenario 1, Schritt 3--cap}} }}
+|-
+| {{b|{{#var:Typ}}:}} || {{Button|{{#var:Netzwerk (Adresse)}}|dr|class=available}} || {{#var:Typ--desc}}
+|-
+| {{b|{{#var:Adresse}}:}} || {{ic|0.0.0.0/0|class=available}} || {{#var:IP-Adresse eintragen}}
+|-
+| {{b|Zone:}} || {{Button|external-2|dr|class=available}} || {{#var:Angelegte Zone auswählen}}
+|-
+| {{b|{{#var:Gruppen}}:}} || {{ic| |cb|class=available}} || {{#var:Kann leer bleiben}}
+|- class="Leerzeile"
+| {{Button|{{#var:Speichern}}}} || colspan="2" | {{#var:Speichern--desc}}
+|- class="Leerzeile"
+|
+|-
+| {{b|Name:}} || {{ic|external-interface-2|class=available}} || {{#var:Namen vergeben}}
+| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt hinzufügen Bild 2}} |{{#var:Netzwerkobjekt hinzufügen Bild 2--cap}} }}
+|-
+| {{b|{{#var:Typ}}:}} || {{Button|Dynamische Schnittstelle|dr|class=available}} || {{#var:Typ--desc}}
+|-
+| {{b|{{#var:Schnittstelle}}:}} || {{Button|wan1|dr|class=available}} || {{#var:Wan1 als Schnittstelle auswählen}}
+|-
+| {{b|Zone:}} || {{Button|firewall-external-2|dr|class=available}} || {{#var:Angelegte Zone auswählen}}
+|-
+| {{b|{{#var:Gruppen}}:}} || {{ic| |cb|class=available}} || {{#var:Kann leer bleiben}}
+|- class="Leerzeile"
+| {{Button|{{#var:Speichern und schließen}}}} || colspan="2" | {{#var:Speichern und schließen--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{h3| {{#var:Regel anlegen}} | {{#var:Szenario 2, Schritt 4}} }}
+|- class="Leerzeile"
+| colspan="3" | {{#var:Szenario 1, Schritt 4--desc}}
+| class="Bild" rowspan="3" | {{Bild| {{#var:Szenario 1, Schritt 4--Bild}} |{{#var:Szenario 1, Schritt 4--cap}} }}
+|- class="blank"
+| colspan="3" class="borderless" |
+{| class="sptable2 spezial pd5 tr--bc__white zh1"
+|- class="bold small no1cell"
+|  || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
+|-
+| {{spc|drag|o|-}} || 9 || {{spc|network|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|other|o|-}} any || {{Kasten|HN|blau|title=external-interface}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+|-
+| {{spc|drag|o|-}} || 10 || {{spc|network|o|-}} internal-network || {{spc|world|o|-}} internet-2 || {{spc|other|o|-}} any || {{Kasten|HN|blau|title=external-interface}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+|}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" |
+== {{#var:Routing für bestimmte Endgeräte und Dienste}} ==
+|- class="Leerzeile"
+| colspan="3" |
+{{#var:Routing für bestimmte Endgeräte und Dienste--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{h3| {{#var:Netzwerkobjekt für den Server}} | {{#var:Schritt 1 - Netzwerkobjekt für den Server}} }}
+|- class="Leerzeile"
+| colspan="3" |
+{{#var:Schritt 1 - Netzwerkobjekt für den Server--desc}}
+|-
+| {{b|Name:}} || {{ic|Server|class=available}} || {{#var:Namen vergeben}}
+| class="Bild" rowspan="6" | {{Bild| {{#var:Schritt 1 - Netzwerkobjekt für den Server--Bild}} |{{#var:Schritt 1 - Netzwerkobjekt für den Server--cap}} }}
+|-
+| {{b|{{#var:Typ}}:}} || {{Button|Host|dr|class=available}} || {{#var:Den Typen Host auswählen}}
+|-
+| {{b|{{#var:Adresse}}:}} || {{ic|203.0.113.0|class=mw10|rechts|icon=/--- |iconw=x|iconbc=hgrau}} || {{#var:IP-Adresse angeben}}
+|-
+| {{b|Zone:}} || {{Button|internal|dr|class=available}} || {{#var:Als Zone internal auswählen}}
+|-
+| {{b|Gruppen:}} || {{ic| |cb|class=available}} || {{#var:Kann leer bleiben}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{h3| {{#var:Regel anlegen}} | {{#var:Schritt 2 - Regel anlegen}} }}
+|- class="Leerzeile"
+| colspan="3" | {{#var:Schritt 2 - Regel anlegen--desc}}
+|-
+| {{b|{{#var:Aktiv}}:}} || {{ButtonAn|{{#var:ein}} }} || {{#var:Die Regel muss aktiv sein}}
+| class="Bild" rowspan="16" | {{Bild| {{#var:Schritt 2 - Regel anlegen--Bild}} |{{#var:Schritt 2 - Regel anlegen--cap}} }}
+|-
+| {{b|{{#var:Quelle}}:}} || {{ic|Server|icon=host|dr|class=mw10}} || {{#var:Server auswählen}}
+|-
+| {{b|{{#var:Ziel}}:}} || {{ic|Internet|icon=internet|dr|class=mw10}} || {{#var:Als Ziel das Internet angeben}}
+|-
+| {{b|{{#var:Dienst}}:}} || {{ic|any|icon=other|dr|class=mw10}} || "any" {{#var:auswählen}}
+|-
+| {{b|{{#var:Aktion}}:}} || {{Button|ACCEPT|dr|class=available}} || "Accept" {{#var:auswählen}}
+|-
+| {{b|{{#var:Gruppen}}:}} || {{Button|Rule-Routing|dr|class=available}} || "Rule-Routing" {{#var:auswählen}}
+|- class="Leerzeile"
+| colspan="3" | {{Kasten|NAT|L}}
+|-
+| {{b|{{#var:Typ}}:}} || {{Button|HIDENAT|dr|class=available}} || {{#var:Unbedingt auswählen}}
+|-
+| {{b|{{#var:Netzwerkobjekt}}:}} || {{ic|icon=interface|external-interface|dr|class=available}} || "external-interface" {{#var:auswählen}}
+|-
+| {{b|{{#var:Dienst}}:}} || {{Button| |dr|class=mw12}} || {{#var:Kann leer bleiben}}
+|- class="Leerzeile"
+| colspan="3" | {{Kasten|Extras|L}}
+|-
+| {{b|Rule Routing:}} || {{ic|wan0|dr|class=available}} || {{#var:Schnittstelle angeben}}
+|-
+| {{b|QOS:}} || {{Button| |dr|class=mw12}} || {{#var:Kann leer bleiben}}
+|-
+| {{b|{{#var:Zeitprofil}}:}} || {{Button| |dr|class=mw12}} || {{#var:Kann leer bleiben}}
+|- class="Leerzeile"
+| {{Button|{{#var:Hinzufügen und schließen}} }} || colspan="2" | {{#var:Hinzufügen und schließen--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{h3| {{#var:Regel positionieren}} | {{#var:Schritt 3 - Regel positionieren}} }}
+|- class="Leerzeile"
+| colspan="3" | {{Hinweis-neu|! |g}} {{#var:Schritt 3 - Regel positionieren--desc}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:Schritt 3 - Regel positionieren--Bild}} |{{#var:Schritt 3 - Regel positionieren--cap}} }}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{#var:Abschlusssatz}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+|}