13
2x WAN vom gleichen ISP an einer Firewall
Moin,
wir haben von einem ISP zwei Glasfaseranschlüsse. Der eine soll der Zugriff aus dem Internet (HTTPS) ins DMZ/LAN und auch für den normalen Internet-Traffic benutzt werden. Der zweite soll ausschließlich für VPN-Zugriffe von Extern genutzt werden. Soweit auch kein Problem, aber der ISP hat uns beide WAN-IP Adressen im gleichen Subnetz vergeben, somit ist der GW bei beiden der gleiche.
Ergo, ich kann nicht auf einer Firewall zwei WAN-Interfaces nutzen mit dem gleichen GW.
Ich habe schon bei der ISP-Technik angefragt, ob sie uns eine andere WAN-IP in einem anderen Subnetz geben können. Die Anfrage ist noch offen. Sollte das aus irgendwelchen Gründen nicht gehen, dann muss eine andere Lösung kommen.
Hier dachte ich dann an einen einfachen Router zwischen der Firewall und dem ISP-Ethernet-Port. Die Firewall würde dann als Exposed Host in dem Router eingetragen werden. Am Ende habe ich so ein doppeltes NAT. Würde das bei VPN-Verbindungen Auswirkungen auf die Performance haben?
Wenn ich die Lösung mit einem Router umsetzen muss, was sollte ich da nehmen? Zu beachten ist dabei die Anzahl gleichzeitiger VPN (SSL) Verbindungen. Sind diese für den quasi "transparenten" Router wichtig? VPN liefe dann nur via passthrough.
wir haben von einem ISP zwei Glasfaseranschlüsse. Der eine soll der Zugriff aus dem Internet (HTTPS) ins DMZ/LAN und auch für den normalen Internet-Traffic benutzt werden. Der zweite soll ausschließlich für VPN-Zugriffe von Extern genutzt werden. Soweit auch kein Problem, aber der ISP hat uns beide WAN-IP Adressen im gleichen Subnetz vergeben, somit ist der GW bei beiden der gleiche.
Ergo, ich kann nicht auf einer Firewall zwei WAN-Interfaces nutzen mit dem gleichen GW.
Ich habe schon bei der ISP-Technik angefragt, ob sie uns eine andere WAN-IP in einem anderen Subnetz geben können. Die Anfrage ist noch offen. Sollte das aus irgendwelchen Gründen nicht gehen, dann muss eine andere Lösung kommen.
Hier dachte ich dann an einen einfachen Router zwischen der Firewall und dem ISP-Ethernet-Port. Die Firewall würde dann als Exposed Host in dem Router eingetragen werden. Am Ende habe ich so ein doppeltes NAT. Würde das bei VPN-Verbindungen Auswirkungen auf die Performance haben?
Wenn ich die Lösung mit einem Router umsetzen muss, was sollte ich da nehmen? Zu beachten ist dabei die Anzahl gleichzeitiger VPN (SSL) Verbindungen. Sind diese für den quasi "transparenten" Router wichtig? VPN liefe dann nur via passthrough.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3125769793
Url: https://administrator.de/contentid/3125769793
Ausgedruckt am: 03.12.2024 um 17:12 Uhr
13 Kommentare
Neuester Kommentar
Wer keine Probleme hat, macht sich welche?
Dein Router, sollte einfach ein Router sein, und kein NATer. NATen ist zwar möglich aber hat keinen Benefit.
Dein Router, sollte einfach ein Router sein, und kein NATer. NATen ist zwar möglich aber hat keinen Benefit.
Moin,
das geht auch nur der Verkehr muss für die Routing Tabelle "markiert werden". Das können viele Systeme auch.
traffic mangle funktion = googeln
bsw. https://issuecloser.com/blog/iptable-mangle-rule-to-mark-traffic-for-rou ...
so kommt es dann auch nicht zu asynchronem Routing
viel Spaß
ulti
das geht auch nur der Verkehr muss für die Routing Tabelle "markiert werden". Das können viele Systeme auch.
traffic mangle funktion = googeln
bsw. https://issuecloser.com/blog/iptable-mangle-rule-to-mark-traffic-for-rou ...
so kommt es dann auch nicht zu asynchronem Routing
viel Spaß
ulti
Moin...
was hast du den für einen Router? jetzt sach nicht fritzbox
normalerweise kannst du für WAN zusätzliche IP adressen eintragen, die dann den Diensten zugewiesen werden können!
Frank
was hast du den für einen Router? jetzt sach nicht fritzbox
normalerweise kannst du für WAN zusätzliche IP adressen eintragen, die dann den Diensten zugewiesen werden können!
Frank
was genau meinst du mit "IP im gleichen Subnetz"?
Tatsächlich WAN IPs ? Oder hast du 2 Router bekommen und die haben z.B jeweils 192.168.2.1 ?
Bei ersterem stimmt was nicht ganz. Wenn beide das selbe Gateway nutzen, dann ist das eine Leitung aber mit Bandbreite 2x. Dann würde euch die Aufsplittung auf 2 Leitungen ja auch quasi keine Vorteile bringen. Fällt der Anschluss aus, sind beide Anschlüsse tot. Wird einer ausgelastet, ist der andere auch ausgelastet usw.
Hier solltet ihr einfach dem Provider sagen das ihr bitte dedizierte Leitungen und auch entsprechend eigene IPs mit eigenem GW haben wollt.
Alles andere wäre schreckliches gebastel und sollte keinesfalls akzeptiert werden.
Tatsächlich WAN IPs ? Oder hast du 2 Router bekommen und die haben z.B jeweils 192.168.2.1 ?
Bei ersterem stimmt was nicht ganz. Wenn beide das selbe Gateway nutzen, dann ist das eine Leitung aber mit Bandbreite 2x. Dann würde euch die Aufsplittung auf 2 Leitungen ja auch quasi keine Vorteile bringen. Fällt der Anschluss aus, sind beide Anschlüsse tot. Wird einer ausgelastet, ist der andere auch ausgelastet usw.
Hier solltet ihr einfach dem Provider sagen das ihr bitte dedizierte Leitungen und auch entsprechend eigene IPs mit eigenem GW haben wollt.
Alles andere wäre schreckliches gebastel und sollte keinesfalls akzeptiert werden.
Hi
ggf. noch ein paar zusätzlich Fragen:
Welche Art von Zugang habt ihr erhalten: PPoE, Ethernet oder ... ?
Was für Enpunkte werden vom Provider gestellt ?
Welche(n) Router oder Firewall setzt ihr ein ?
Gruß
CH
...
Alles andere wäre schreckliches gebastel und sollte keinesfalls akzeptiert werden.
+1Alles andere wäre schreckliches gebastel und sollte keinesfalls akzeptiert werden.
ggf. noch ein paar zusätzlich Fragen:
Welche Art von Zugang habt ihr erhalten: PPoE, Ethernet oder ... ?
Was für Enpunkte werden vom Provider gestellt ?
Welche(n) Router oder Firewall setzt ihr ein ?
Gruß
CH
Zitat von @DerMaddin:
Soweit auch kein Problem, aber der ISP hat uns beide WAN-IP Adressen im gleichen Subnetz vergeben, somit ist der GW bei beiden der gleiche.
Soweit auch kein Problem, aber der ISP hat uns beide WAN-IP Adressen im gleichen Subnetz vergeben, somit ist der GW bei beiden der gleiche.
Moin,
hat der Euch wirklich Adressen aus einem Netz gegeben oder einfach nur ein Transfernetz mit einer Hostroute? Üblicherweise "verschwendet" man da keine Subnetze, sondern nimmt einfach nur Hostadressen und und /32-er Masken.
lks
Würde das bei VPN-Verbindungen Auswirkungen auf die Performance haben?
Wie soll man das realistisch beurteilen wenn man deinen Router und seine Daten nicht kennt?!"Ich möchte auf dem Nürburgring mit einem Auto fahren". Würde das Auswirkungen auf meinen Fahrstil haben...??" Du verstehst vermutlich die technische Sinnhaftigkeit deiner Frage... Kollege @Vision2015 hat es schon gesagt.
Sind diese für den quasi "transparenten" Router wichtig?
Nein. Der ist ja, wie du auch schon selber richtig festgestellt hast, nur "Durchlauferhitzer". Auswirkungen könnte nur das NAT auf das verwendete VPN Protokoll haben zu dem du aber keinerlei Aussagen machst. 
Ansonsten ist das bei der Konstellation ein gangbarer Workaround sofern das vom Provider zur Verfügung gestellte Subnet nicht auch noch weiter Subnetting fähig ist um NAT zu vermeiden. Aber dazu ja auch leider keine Angaben.
Hallo,
die Frage tauscht hier und dort immer mal wieder auf, unregelmäßig aber halt immer mal wieder.
Es gibt eben immer noch den oder anderen Routerhersteller wo das so nicht einzutragen "geht".
Man ging damals und einige Hersteller leider auch noch heute, davon aus, dass man sich von
Unterschiedlichen ISPs Leitungen holt und wenn ein ISP Schwierigkeiten hat, dann kommt
die zweite Leitung "zum Tragen". Ist aber alles veraltet und wir wissen alle in einigen Gebieten
gibt es nur den einen Anbieter, der schnell genug ist oder vom Preis/Leistungsverhältnis her
in Frage kommt.
ist das selbe wie beim vorherigen Male und lässt sich nicht abspeichern, richtig? Wenn ja, dann
solltest Du eventuell einen MikroTik Router oder aber eine pfSense Firewall benutzen.
Dobby
die Frage tauscht hier und dort immer mal wieder auf, unregelmäßig aber halt immer mal wieder.
Es gibt eben immer noch den oder anderen Routerhersteller wo das so nicht einzutragen "geht".
Man ging damals und einige Hersteller leider auch noch heute, davon aus, dass man sich von
Unterschiedlichen ISPs Leitungen holt und wenn ein ISP Schwierigkeiten hat, dann kommt
die zweite Leitung "zum Tragen". Ist aber alles veraltet und wir wissen alle in einigen Gebieten
gibt es nur den einen Anbieter, der schnell genug ist oder vom Preis/Leistungsverhältnis her
in Frage kommt.
Ergo, ich kann nicht auf einer Firewall zwei WAN-Interfaces nutzen mit dem gleichen GW.
Du gibst die IP ein und das Gateway ein und beim nächsten Mal wieder die IP und das Gatewayist das selbe wie beim vorherigen Male und lässt sich nicht abspeichern, richtig? Wenn ja, dann
solltest Du eventuell einen MikroTik Router oder aber eine pfSense Firewall benutzen.
Dobby
Moin Leute,
also hier mehr Details.
Wir haben von einen ISP zwei GF Anschlüsse mit je zwei CPE. Jeder dieser CPE hat einen Ethernet-Anschluss und hat eigene Einstellungen.
CPE 1: WAN IP 80.1.2.21/28 GW 80.1.2.17
CPE 2: WAN IP 80.1.2.25/28 GW 80.1.2.17
Das Subnetz ist also 80.1.2.16 bzw. erste nutzbare IP-Adresse ist der GW mit .17. In diesem Subnetz (oder auch Transfernetz) sind auch scheinbar andere Kunden mit drin, da ich z.B. auf einer anderen IP eine fremde Firewall erreichen kann. Egal.
Technisch ist das so umgesetzt, dass wir im Technikraum einen GF-Endpunkt haben mit 8 Fasern, wovon 2 nun genutzt werden. Ob das nun zwei eigenständige GF-Kabel wären oder nur einer mit mehreren Fasern, macht keinen Unterschied, da es nur ein Kabelrohr zu unserem Gewerbegebiet gibt. Selbst ein anderer ISP (hier Telekom) würde das gleiche Rohr benutzen müssen. Lediglich beim ISP Ausfall würde ein anderer ISP von Vorteil sein, aber die Telekom ist hier um den Faktor 8 teurer.
Aktuell ist der erste CPE direkt an unserer Firewall (Sophos XGS 116) terminiert. Sobald ich den zweiten CPE anschließe und den WAN-Link einrichte, geht nichts mehr, da in diesem Moment dann zwei Gateways eingetragen sind mit der gleichen IP-Adresse. Klar, dass dann nichts mehr geht. Die zweite Leitung soll wie erwähnt nur für VPN sein, kein LB oder Failover.
Sollte der ISP uns hier kein anderes Subnetz mit einem anderen GW zuteilen können, dann müsste die Lösung mit einem Router zwischen FW und Ethernet-Endpunkt her halten.
Aktuell habe ich keinen Router, daher auch die Frage danach. Verschont mit mich dem Mikrotik Kram (auch Ubiquiti). Die Hardware mag durchaus gut sein aber die Bedienung ist ein Graus.
also hier mehr Details.
Wir haben von einen ISP zwei GF Anschlüsse mit je zwei CPE. Jeder dieser CPE hat einen Ethernet-Anschluss und hat eigene Einstellungen.
CPE 1: WAN IP 80.1.2.21/28 GW 80.1.2.17
CPE 2: WAN IP 80.1.2.25/28 GW 80.1.2.17
Das Subnetz ist also 80.1.2.16 bzw. erste nutzbare IP-Adresse ist der GW mit .17. In diesem Subnetz (oder auch Transfernetz) sind auch scheinbar andere Kunden mit drin, da ich z.B. auf einer anderen IP eine fremde Firewall erreichen kann. Egal.
Technisch ist das so umgesetzt, dass wir im Technikraum einen GF-Endpunkt haben mit 8 Fasern, wovon 2 nun genutzt werden. Ob das nun zwei eigenständige GF-Kabel wären oder nur einer mit mehreren Fasern, macht keinen Unterschied, da es nur ein Kabelrohr zu unserem Gewerbegebiet gibt. Selbst ein anderer ISP (hier Telekom) würde das gleiche Rohr benutzen müssen. Lediglich beim ISP Ausfall würde ein anderer ISP von Vorteil sein, aber die Telekom ist hier um den Faktor 8 teurer.
Aktuell ist der erste CPE direkt an unserer Firewall (Sophos XGS 116) terminiert. Sobald ich den zweiten CPE anschließe und den WAN-Link einrichte, geht nichts mehr, da in diesem Moment dann zwei Gateways eingetragen sind mit der gleichen IP-Adresse. Klar, dass dann nichts mehr geht. Die zweite Leitung soll wie erwähnt nur für VPN sein, kein LB oder Failover.
Sollte der ISP uns hier kein anderes Subnetz mit einem anderen GW zuteilen können, dann müsste die Lösung mit einem Router zwischen FW und Ethernet-Endpunkt her halten.
Aktuell habe ich keinen Router, daher auch die Frage danach. Verschont mit mich dem Mikrotik Kram (auch Ubiquiti). Die Hardware mag durchaus gut sein aber die Bedienung ist ein Graus.
Habt ihr das gesamte 80.1.2.16 /28er Subnetz bekommen? Wenn ja könntest du es in 2 mal /29er aufteilen.
Bei einer Routerlösung scheidet eine FritzBox als Router aus, da diese ohne abschaltbares NAT kommt. Da bleibt dann bei solchen Anforderungen an ein Konfig Niveau nicht mehr viel Auswahl mit einem KlickiBunti GUI für Dummies.
Und mal im Ernst...zwei popelige IP Adressen in einem Mikrotik über das WinBox GUI einzutippen und 2mal die Maus zu klicken schafft ja auch der Azubi im ersten Lehrjahr ohne Anleitung. Also solltest du als Profi Netzwerker mit MS und Linux Zertifizierungen das doch auch mit Links hinbekommen, oder?! Solche unreflektierten Äußerungen zur Hardware Bedienung in einem Administrator Forum sind immer relativ wie du ja auch selber weisst und wirft eher ein sehr schlechtes Licht auf dich selber.
In sofern wäre dann ein Mikrotik hEX-S oder einer ohne S (=ohne Glasfaser Support) für dich preislich die beste Wahl zur Umsetzung im Firmenumfeld sofern du nicht weiter subnetten kannst und die Router Lösung nehmen musst. Du kannst natürlich auch einen Lancom oder Cisco926 nehmen.
Bei einer Routerlösung scheidet eine FritzBox als Router aus, da diese ohne abschaltbares NAT kommt. Da bleibt dann bei solchen Anforderungen an ein Konfig Niveau nicht mehr viel Auswahl mit einem KlickiBunti GUI für Dummies.
Und mal im Ernst...zwei popelige IP Adressen in einem Mikrotik über das WinBox GUI einzutippen und 2mal die Maus zu klicken schafft ja auch der Azubi im ersten Lehrjahr ohne Anleitung. Also solltest du als Profi Netzwerker mit MS und Linux Zertifizierungen das doch auch mit Links hinbekommen, oder?! Solche unreflektierten Äußerungen zur Hardware Bedienung in einem Administrator Forum sind immer relativ wie du ja auch selber weisst und wirft eher ein sehr schlechtes Licht auf dich selber.
In sofern wäre dann ein Mikrotik hEX-S oder einer ohne S (=ohne Glasfaser Support) für dich preislich die beste Wahl zur Umsetzung im Firmenumfeld sofern du nicht weiter subnetten kannst und die Router Lösung nehmen musst. Du kannst natürlich auch einen Lancom oder Cisco926 nehmen.
@aqui
Das hier dargestellte Subnetz ist nur ein Beispielnetz aber entspricht der Realität mit /28. Leider, zumindest so die Aussage der ISP-Technikhotline, können die scheinbar kein anderes Subnetz/IP zur Verfügung stellen und nein, das Subnetz bzw. die Adressen darin sind auch anderen Kunden zugeteilt.
Ich kann auch mit CLI umgehen aber eine schöne GUI bevorzuge ich immer ggü. viel Tipperei
Klar, dass eine FB hier nicht besonders taugt, da nicht wirklich so einstellbar wie es sein muss. Werde mir wohl so ein Mikrotik näher anschauen. Die anderen Geräte sind deutlich teurer.
Das hier dargestellte Subnetz ist nur ein Beispielnetz aber entspricht der Realität mit /28. Leider, zumindest so die Aussage der ISP-Technikhotline, können die scheinbar kein anderes Subnetz/IP zur Verfügung stellen und nein, das Subnetz bzw. die Adressen darin sind auch anderen Kunden zugeteilt.
Ich kann auch mit CLI umgehen aber eine schöne GUI bevorzuge ich immer ggü. viel Tipperei
Klar, dass eine FB hier nicht besonders taugt, da nicht wirklich so einstellbar wie es sein muss. Werde mir wohl so ein Mikrotik näher anschauen. Die anderen Geräte sind deutlich teurer.und nein, das Subnetz bzw. die Adressen darin sind auch anderen Kunden zugeteilt.
OK, dann bleibt dir tatsächlich nur der Router NAT Workaround.Und sorry...du MUSST dann natürlich NAT machen, damit war die obuge Anmerkung falsch und du kannst dann deinen Fähigkeiten entsprechend natürlich eine FritzBox mit Modem Bypass und KlickiBunti Menü nutzen. Ob sowas im Firmenumfeld dann sinnvoll ist musst du selber entscheiden.
Tip:
Beschaffe dir parallel privat vom Taschengeld einen hAP lite und übe etwas zuhause. Das sind sehr gut investierte 20 Euronen in dein Netzwerk KnowHow. 😉
Hallo,
Zuerst anlegen:
Gatewaygroup: Irgendein Name
Danach anlegen:
Gateway 1: CPE 1: WAN IP 80.1.2.21/28 GW 80.1.2.17
Gateway 2: CPE 2: WAN IP 80.1.2.25/28 GW 80.1.2.17
Dann die Gateways 1 und 2 zu der Group hinzufügen
Loadbalancing mit automatischem Failover bei einem nicht funktionierendem Link kommen noch oben auf!
Das funktioniert bei MikroTik und pfSense, ebenso wie bei Endian, Untangle oder ClearOS.
MikroTik hat eine steile Lernkurve aber auch viele Bücher und Kurse die man belegen kann
pfSense ist weit verbreitet und man bekommt auch schon recht viele Bücher dazu
Beide haben auch ein gutes Forum.
- MikroTik CCR2116-12G-4S+
- pfSense SuperServer E300-9A-16CN8TP
Blech oder einer VM installieren zum Üben!
Dobby
CPE 1: WAN IP 80.1.2.21/28 GW 80.1.2.17
CPE 2: WAN IP 80.1.2.25/28 GW 80.1.2.17
Normalerweise bildet man eine Gateway-Group mit zwei oder mehr WAN Anschlüssen.CPE 2: WAN IP 80.1.2.25/28 GW 80.1.2.17
Zuerst anlegen:
Gatewaygroup: Irgendein Name
Danach anlegen:
Gateway 1: CPE 1: WAN IP 80.1.2.21/28 GW 80.1.2.17
Gateway 2: CPE 2: WAN IP 80.1.2.25/28 GW 80.1.2.17
Dann die Gateways 1 und 2 zu der Group hinzufügen
Loadbalancing mit automatischem Failover bei einem nicht funktionierendem Link kommen noch oben auf!
Das funktioniert bei MikroTik und pfSense, ebenso wie bei Endian, Untangle oder ClearOS.
MikroTik hat eine steile Lernkurve aber auch viele Bücher und Kurse die man belegen kann
pfSense ist weit verbreitet und man bekommt auch schon recht viele Bücher dazu
Beide haben auch ein gutes Forum.
Sollte der ISP uns hier kein anderes Subnetz mit einem anderen GW zuteilen können, dann müsste die
Lösung mit einem Router zwischen FW und Ethernet-Endpunkt her halten.
Wie schnell sind denn die beiden GF Verbindungen?Lösung mit einem Router zwischen FW und Ethernet-Endpunkt her halten.
- MikroTik CCR2116-12G-4S+
- pfSense SuperServer E300-9A-16CN8TP
Aktuell habe ich keinen Router, daher auch die Frage danach. Verschont mit mich dem Mikrotik Kram
(auch Ubiquiti). Die Hardware mag durchaus gut sein aber die Bedienung ist ein Graus.
Vielleicht ist ja auch pfSense etwas für Dich, gute Bücher kann man auch als CE Version schnell auf einem(auch Ubiquiti). Die Hardware mag durchaus gut sein aber die Bedienung ist ein Graus.
Blech oder einer VM installieren zum Üben!
Dobby
1
