Cisco ASA5510 - Webtraffic über 2. DSL Leitung

Mitglied: Marc2106

Marc2106 (Level 1) - Jetzt verbinden

12.11.2008, aktualisiert 14.11.2008, 5800 Aufrufe, 4 Kommentare

ASA5510: Webtraffic vom sonstigen Traffic trennen

Guten Tag zusammen,

Vielleicht eine blöde Frage die ich hier zum Besten gebe...
...ist es möglich, mit einer ASA55xx Webtraffic über ein Interface z.B. mit 16K ADSL Leitung laufen zu lassen, und jeden anderen Traffic wie VPN,Mail,FTP etc. über eine andere, z.B. SDSL Leitung?

Dürfte doch eigentlich mit geschicktem Routing möglich sein, oder?
Was ist mit der Dual-ISP Funktionalität? How2?

Wäre echt nett wenn mir jemand bei diesem Thema weiterhelfen könnte. Ich wünsch euch noch nen netten Abend,

bis dann, Marc
Mitglied: Rafiki
13.11.2008 um 21:29 Uhr
Hallo Marc,

ich kenne keinen Trick wie man der ASA (PIX) eine zweite default Route beibringt und diese dann auch noch mit einer Policy belegen könnte. Leider ist die ASA deutlich mehr Firewall als Router.

Die ASA kann mehrere Kontexte haben, so etwas wie virtuelle Maschinen. Nur müssten diese Dann unterschiedliche IP Adressen haben. Das verlagert das Problem der Entscheidung welches Gateway der Traffic nehmen muss vor die ASA zum User hin. Das würde also das Problem auch nicht lösen.

Auf einem (Cisco) Router wäre das durchaus möglich, aber der Traffic würde nur nach Ports sortiert nicht wirklich nach http/https. Zumindest verstehe ich das in deiner Frage als Webtraffic. Das Stichwort hier ist dann PBR policy based routing.

Überlege dir mal ob du mit einem Proxyserver besser bedient bist. Ein Proxyserver könnte bevorzugt die eine DSL Leitung nutzen und zusätzlich auch unerwünschte Webseiten filtern und Virusscanner beinhalten.

Oder andersherum: Alles benutzt die eine DSL Leitung. Für VPN von extern wird die IP Adresse der zweiten DSL Leitung verwendet. Mit manuellen route einträgen zu VPN Partnern wird der Traffic auch über die zweite Leitung gelegt. Der Emailserver wird von Hand auf das Gateway der zweiten Leitung umgelenkt. Ich gebe zu das ist keine schöne Lösung aber vielleicht hilft es ja.

Da die ASA nun mal kein load balancer ist könntest du aber auch das Internet halbieren:
route ISP1 128.0.0.0 128.0.0.0 1.1.1.2
route ISP2 0.0.0.0 128.0.0.0 2.2.2.2
Aber auch das eben wieder nicht nach Webtraffic sortiert.

Cisco verkauft aber gerne noch weitere Kästchen, am liebsten redundant damit nix ausfallen kann und der Umsatz stimmt. 0

So genug geschrieben: Nimm einen einfachen Proxy.

Gruß Rafiki
Bitte warten ..
Mitglied: Marc2106
14.11.2008 um 17:49 Uhr
Hallo Rafiki,

erstmal vielen Dank für die Antwort. Ich bin gerade dabei mich mit PBR anzufreunden - wird die einzig saubere Lösung sein. Ist eigentlich das, was ich will. Also nochmal vielen Dank und einen schönen Abend noch.

Gruß Marc
Bitte warten ..
Mitglied: Rafiki
14.11.2008 um 21:17 Uhr
Ich habe heute im Büro noch mal kurz nachgesehen und den Bookmark gefunden den ich gestern schon Posten wollte. Die PIX / ASA FAQ von Cisco, erklärt unteranderem auch das PBR auf der ASA gegenwärtig nicht implementiert ist.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_it ...

Aber vieleicht geht es mit einem Trick doch:
http://forum.cisco.com/eforum/servlet/NetProf?page=netprof&forum=Se ...

Auszug:
Ich habe diesen Trick nicht ausprobiert.
Bitte warten ..
Mitglied: Marc2106
14.11.2008 um 21:51 Uhr
Hey Rafiki, danke für Deine Nachforschungen. Echt klasse. Das werde ich mal an der Testbox versuchen. Ergebnis poste ich. Wusste gar nicht, dass man im Routing den Port mit angeben kann. Was das IOS wohl davon hält? Testen wir's
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Lancom Router Site to Site Problem mit Außenstellen
gelöst mossoxFrageRouter & Routing26 Kommentare

Guten Tag zusammen, in der Hauptgeschäftsstelle nutzen wir einen Lancom 1781VA Router und haben i.d.R. zwei gleichzeitige IPSec Site ...

Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke23 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Apache Server
Wer installiert mir Jitsi-meet mit Stun- Turn-Server und wartet dies?
gelöst default-userFrageApache Server20 Kommentare

Nachdem ich mit der Audio- und Videoqualität der meisten angebotenen Videokonferenz-Lösungen nicht zufrieden bin, möchte ich einen eigenen Jitsi-meet-Server ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
gelöst StefanKittelFrageSicherheit19 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing18 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Ähnliche Inhalte
Router & Routing
Bintec RT1202 2 x DSL Leitung
OSelbeckFrageRouter & Routing1 Kommentar

Guten Morgen zusammen, ich möchte gerne an einem RT1202 2 DSL Leitungen betreiben, ohne LB. Über eine möchte ich ...

Hosting & Housing

2 Anbieter auf einer DSL-Leitung möglich?

gelöst BinaryBearFrageHosting & Housing9 Kommentare

Moin, rein aus technischem Interesse sollte es doch möglich sein über eine physische DSL-Leitung mehrere Anmeldungen via PPPoE durchführen ...

DSL, VDSL

1 DSL-Leitung und 2 Router (Internet+Fax)

gelöst barry99FrageDSL, VDSL8 Kommentare

Servus! Ich habe das folgende Problem. Im Haus (Keller) habe ich meinen Telefonanschluss. Jetzt brauche ich im Wohnzimmer einen ...

DSL, VDSL

Blitzschutz für DSL-Leitung

gelöst SarekHLFrageDSL, VDSL36 Kommentare

Hallo zusammen, nachdem ein Blitzeinschlag in der Nähe mir am Sonnabend trotz Überspannungsschutz-Steckdosenleite meinen Router gegrillt hat, habe ich ...

Netzwerkgrundlagen

Backup-DSL-Leitung richtig konfigurieren

gelöst KLinnebankFrageNetzwerkgrundlagen15 Kommentare

Hallo zusammen, ich habe da ein Verstädnisproblem, bei der mir sicher jemand von Euch die Augen öffnen kann. Ich ...

Netzwerkgrundlagen

LWL Leitung Dämpfung

zeder12FrageNetzwerkgrundlagen3 Kommentare

Hallo, unser Betriebselektriker hat vor kurzem unsere LWL Leitungen durchgemessen und festgestellt, daß die Dämpfung auf einer Leitung ( ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud