2x WAN vom gleichen ISP an einer Firewall

dermaddin
Goto Top
Moin,

wir haben von einem ISP zwei Glasfaseranschlüsse. Der eine soll der Zugriff aus dem Internet (HTTPS) ins DMZ/LAN und auch für den normalen Internet-Traffic benutzt werden. Der zweite soll ausschließlich für VPN-Zugriffe von Extern genutzt werden. Soweit auch kein Problem, aber der ISP hat uns beide WAN-IP Adressen im gleichen Subnetz vergeben, somit ist der GW bei beiden der gleiche.

Ergo, ich kann nicht auf einer Firewall zwei WAN-Interfaces nutzen mit dem gleichen GW.

Ich habe schon bei der ISP-Technik angefragt, ob sie uns eine andere WAN-IP in einem anderen Subnetz geben können. Die Anfrage ist noch offen. Sollte das aus irgendwelchen Gründen nicht gehen, dann muss eine andere Lösung kommen.

Hier dachte ich dann an einen einfachen Router zwischen der Firewall und dem ISP-Ethernet-Port. Die Firewall würde dann als Exposed Host in dem Router eingetragen werden. Am Ende habe ich so ein doppeltes NAT. Würde das bei VPN-Verbindungen Auswirkungen auf die Performance haben?

Wenn ich die Lösung mit einem Router umsetzen muss, was sollte ich da nehmen? Zu beachten ist dabei die Anzahl gleichzeitiger VPN (SSL) Verbindungen. Sind diese für den quasi "transparenten" Router wichtig? VPN liefe dann nur via passthrough.

Content-Key: 3125769793

Url: https://administrator.de/contentid/3125769793

Ausgedruckt am: 11.08.2022 um 14:08 Uhr

Mitglied: unbelanglos
unbelanglos 20.06.2022 um 16:26:03 Uhr
Goto Top
Wer keine Probleme hat, macht sich welche?


Dein Router, sollte einfach ein Router sein, und kein NATer. NATen ist zwar möglich aber hat keinen Benefit.
Mitglied: ultiman
ultiman 20.06.2022 um 16:33:30 Uhr
Goto Top
Moin,
das geht auch nur der Verkehr muss für die Routing Tabelle "markiert werden". Das können viele Systeme auch.
traffic mangle funktion = googeln
bsw. https://issuecloser.com/blog/iptable-mangle-rule-to-mark-traffic-for-rou ...
so kommt es dann auch nicht zu asynchronem Routing
viel Spaß
ulti
Mitglied: Vision2015
Vision2015 20.06.2022 um 16:35:13 Uhr
Goto Top
Moin...

was hast du den für einen Router? jetzt sach nicht fritzbox face-smile
normalerweise kannst du für WAN zusätzliche IP adressen eintragen, die dann den Diensten zugewiesen werden können!

Frank
Mitglied: SeaStorm
SeaStorm 20.06.2022 um 17:07:58 Uhr
Goto Top
was genau meinst du mit "IP im gleichen Subnetz"?
Tatsächlich WAN IPs ? Oder hast du 2 Router bekommen und die haben z.B jeweils 192.168.2.1 ?

Bei ersterem stimmt was nicht ganz. Wenn beide das selbe Gateway nutzen, dann ist das eine Leitung aber mit Bandbreite 2x. Dann würde euch die Aufsplittung auf 2 Leitungen ja auch quasi keine Vorteile bringen. Fällt der Anschluss aus, sind beide Anschlüsse tot. Wird einer ausgelastet, ist der andere auch ausgelastet usw.
Hier solltet ihr einfach dem Provider sagen das ihr bitte dedizierte Leitungen und auch entsprechend eigene IPs mit eigenem GW haben wollt.
Alles andere wäre schreckliches gebastel und sollte keinesfalls akzeptiert werden.
Mitglied: ChriBo
ChriBo 20.06.2022 um 17:21:33 Uhr
Goto Top
Hi
...
Alles andere wäre schreckliches gebastel und sollte keinesfalls akzeptiert werden.
+1

ggf. noch ein paar zusätzlich Fragen:
Welche Art von Zugang habt ihr erhalten: PPoE, Ethernet oder ... ?
Was für Enpunkte werden vom Provider gestellt ?
Welche(n) Router oder Firewall setzt ihr ein ?

Gruß
CH
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.06.2022 aktualisiert um 17:41:47 Uhr
Goto Top
Zitat von @DerMaddin:

Soweit auch kein Problem, aber der ISP hat uns beide WAN-IP Adressen im gleichen Subnetz vergeben, somit ist der GW bei beiden der gleiche.

Moin,

hat der Euch wirklich Adressen aus einem Netz gegeben oder einfach nur ein Transfernetz mit einer Hostroute? Üblicherweise "verschwendet" man da keine Subnetze, sondern nimmt einfach nur Hostadressen und und /32-er Masken.

lks
Mitglied: aqui
aqui 20.06.2022 aktualisiert um 18:27:00 Uhr
Goto Top
Würde das bei VPN-Verbindungen Auswirkungen auf die Performance haben?
Wie soll man das realistisch beurteilen wenn man deinen Router und seine Daten nicht kennt?!
"Ich möchte auf dem Nürburgring mit einem Auto fahren". Würde das Auswirkungen auf meinen Fahrstil haben...??" Du verstehst vermutlich die technische Sinnhaftigkeit deiner Frage... Kollege @Vision2015 hat es schon gesagt.
Sind diese für den quasi "transparenten" Router wichtig?
Nein. Der ist ja, wie du auch schon selber richtig festgestellt hast, nur "Durchlauferhitzer". Auswirkungen könnte nur das NAT auf das verwendete VPN Protokoll haben zu dem du aber keinerlei Aussagen machst. face-sad
Ansonsten ist das bei der Konstellation ein gangbarer Workaround sofern das vom Provider zur Verfügung gestellte Subnet nicht auch noch weiter Subnetting fähig ist um NAT zu vermeiden. Aber dazu ja auch leider keine Angaben. face-sad
Mitglied: Dobby
Dobby 20.06.2022 um 23:27:36 Uhr
Goto Top
Hallo,

die Frage tauscht hier und dort immer mal wieder auf, unregelmäßig aber halt immer mal wieder.
Es gibt eben immer noch den oder anderen Routerhersteller wo das so nicht einzutragen "geht".

Man ging damals und einige Hersteller leider auch noch heute, davon aus, dass man sich von
Unterschiedlichen ISPs Leitungen holt und wenn ein ISP Schwierigkeiten hat, dann kommt
die zweite Leitung "zum Tragen". Ist aber alles veraltet und wir wissen alle in einigen Gebieten
gibt es nur den einen Anbieter, der schnell genug ist oder vom Preis/Leistungsverhältnis her
in Frage kommt.

Ergo, ich kann nicht auf einer Firewall zwei WAN-Interfaces nutzen mit dem gleichen GW.
Du gibst die IP ein und das Gateway ein und beim nächsten Mal wieder die IP und das Gateway
ist das selbe wie beim vorherigen Male und lässt sich nicht abspeichern, richtig? Wenn ja, dann
solltest Du eventuell einen MikroTik Router oder aber eine pfSense Firewall benutzen.

Dobby
Mitglied: DerMaddin
DerMaddin 21.06.2022 um 08:10:31 Uhr
Goto Top
Moin Leute,

also hier mehr Details.

Wir haben von einen ISP zwei GF Anschlüsse mit je zwei CPE. Jeder dieser CPE hat einen Ethernet-Anschluss und hat eigene Einstellungen.

CPE 1: WAN IP 80.1.2.21/28 GW 80.1.2.17
CPE 2: WAN IP 80.1.2.25/28 GW 80.1.2.17

Das Subnetz ist also 80.1.2.16 bzw. erste nutzbare IP-Adresse ist der GW mit .17. In diesem Subnetz (oder auch Transfernetz) sind auch scheinbar andere Kunden mit drin, da ich z.B. auf einer anderen IP eine fremde Firewall erreichen kann. Egal.

Technisch ist das so umgesetzt, dass wir im Technikraum einen GF-Endpunkt haben mit 8 Fasern, wovon 2 nun genutzt werden. Ob das nun zwei eigenständige GF-Kabel wären oder nur einer mit mehreren Fasern, macht keinen Unterschied, da es nur ein Kabelrohr zu unserem Gewerbegebiet gibt. Selbst ein anderer ISP (hier Telekom) würde das gleiche Rohr benutzen müssen. Lediglich beim ISP Ausfall würde ein anderer ISP von Vorteil sein, aber die Telekom ist hier um den Faktor 8 teurer.

Aktuell ist der erste CPE direkt an unserer Firewall (Sophos XGS 116) terminiert. Sobald ich den zweiten CPE anschließe und den WAN-Link einrichte, geht nichts mehr, da in diesem Moment dann zwei Gateways eingetragen sind mit der gleichen IP-Adresse. Klar, dass dann nichts mehr geht. Die zweite Leitung soll wie erwähnt nur für VPN sein, kein LB oder Failover.

Sollte der ISP uns hier kein anderes Subnetz mit einem anderen GW zuteilen können, dann müsste die Lösung mit einem Router zwischen FW und Ethernet-Endpunkt her halten.

Aktuell habe ich keinen Router, daher auch die Frage danach. Verschont mit mich dem Mikrotik Kram (auch Ubiquiti). Die Hardware mag durchaus gut sein aber die Bedienung ist ein Graus.
Mitglied: aqui
Lösung aqui 21.06.2022 aktualisiert um 09:33:26 Uhr
Goto Top
Habt ihr das gesamte 80.1.2.16 /28er Subnetz bekommen? Wenn ja könntest du es in 2 mal /29er aufteilen.
Bei einer Routerlösung scheidet eine FritzBox als Router aus, da diese ohne abschaltbares NAT kommt. Da bleibt dann bei solchen Anforderungen an ein Konfig Niveau nicht mehr viel Auswahl mit einem KlickiBunti GUI für Dummies.
Und mal im Ernst...zwei popelige IP Adressen in einem Mikrotik über das WinBox GUI einzutippen und 2mal die Maus zu klicken schafft ja auch der Azubi im ersten Lehrjahr ohne Anleitung. Also solltest du als Profi Netzwerker mit MS und Linux Zertifizierungen das doch auch mit Links hinbekommen, oder?! Solche unreflektierten Äußerungen zur Hardware Bedienung in einem Administrator Forum sind immer relativ wie du ja auch selber weisst und wirft eher ein sehr schlechtes Licht auf dich selber. face-sad
In sofern wäre dann ein Mikrotik hEX-S oder einer ohne S (=ohne Glasfaser Support) für dich preislich die beste Wahl zur Umsetzung im Firmenumfeld sofern du nicht weiter subnetten kannst und die Router Lösung nehmen musst. Du kannst natürlich auch einen Lancom oder Cisco926 nehmen.
Mitglied: DerMaddin
DerMaddin 21.06.2022 um 09:42:01 Uhr
Goto Top
@aqui

Das hier dargestellte Subnetz ist nur ein Beispielnetz aber entspricht der Realität mit /28. Leider, zumindest so die Aussage der ISP-Technikhotline, können die scheinbar kein anderes Subnetz/IP zur Verfügung stellen und nein, das Subnetz bzw. die Adressen darin sind auch anderen Kunden zugeteilt.

Ich kann auch mit CLI umgehen aber eine schöne GUI bevorzuge ich immer ggü. viel Tipperei face-wink Klar, dass eine FB hier nicht besonders taugt, da nicht wirklich so einstellbar wie es sein muss. Werde mir wohl so ein Mikrotik näher anschauen. Die anderen Geräte sind deutlich teurer.
Mitglied: aqui
aqui 21.06.2022 aktualisiert um 09:48:38 Uhr
Goto Top
und nein, das Subnetz bzw. die Adressen darin sind auch anderen Kunden zugeteilt.
OK, dann bleibt dir tatsächlich nur der Router NAT Workaround.
Und sorry...du MUSST dann natürlich NAT machen, damit war die obuge Anmerkung falsch und du kannst dann deinen Fähigkeiten entsprechend natürlich eine FritzBox mit Modem Bypass und KlickiBunti Menü nutzen. Ob sowas im Firmenumfeld dann sinnvoll ist musst du selber entscheiden.
Tip:
Beschaffe dir parallel privat vom Taschengeld einen hAP lite und übe etwas zuhause. Das sind sehr gut investierte 20 Euronen in dein Netzwerk KnowHow. 😉
Mitglied: Dobby
Dobby 21.06.2022 um 23:59:12 Uhr
Goto Top
Hallo,

CPE 1: WAN IP 80.1.2.21/28 GW 80.1.2.17
CPE 2: WAN IP 80.1.2.25/28 GW 80.1.2.17
Normalerweise bildet man eine Gateway-Group mit zwei oder mehr WAN Anschlüssen.

Zuerst anlegen:
Gatewaygroup: Irgendein Name
Danach anlegen:
Gateway 1: CPE 1: WAN IP 80.1.2.21/28 GW 80.1.2.17
Gateway 2: CPE 2: WAN IP 80.1.2.25/28 GW 80.1.2.17
Dann die Gateways 1 und 2 zu der Group hinzufügen

Loadbalancing mit automatischem Failover bei einem nicht funktionierendem Link kommen noch oben auf!

Das funktioniert bei MikroTik und pfSense, ebenso wie bei Endian, Untangle oder ClearOS.
MikroTik hat eine steile Lernkurve aber auch viele Bücher und Kurse die man belegen kann
pfSense ist weit verbreitet und man bekommt auch schon recht viele Bücher dazu
Beide haben auch ein gutes Forum.

Sollte der ISP uns hier kein anderes Subnetz mit einem anderen GW zuteilen können, dann müsste die
Lösung mit einem Router zwischen FW und Ethernet-Endpunkt her halten.
Wie schnell sind denn die beiden GF Verbindungen?
- MikroTik CCR2116-12G-4S+
- pfSense SuperServer E300-9A-16CN8TP

Aktuell habe ich keinen Router, daher auch die Frage danach. Verschont mit mich dem Mikrotik Kram
(auch Ubiquiti). Die Hardware mag durchaus gut sein aber die Bedienung ist ein Graus.
Vielleicht ist ja auch pfSense etwas für Dich, gute Bücher kann man auch als CE Version schnell auf einem
Blech oder einer VM installieren zum Üben!

Dobby