jompsi
Goto Top

FortiGate Internet Load Balancing - Kann man Protocol Binding einrichten?

Hallo zusammen

Wir haben im Betrieb zurzeit einen Netgear SRX5308 Router mit zwei ISP Anschlüssen. Dort ist Load Balancing konfiguriert und gewisse Protokolle haben wir auf WAN1 gebunden(Protocol Binding). Grund dafür ist, dass HTTPS Sessions nicht während der Sitzung auf das WAN2 wechseln und man sich wieder authentifizieren muss.

Jetzt bin ich dabei die FortiGate 60D anzuschauen, weil wir haben ein Branch Office und mit diesem möchten wir ein IPSec Site2Site VPN einrichten. Im Branch Office würde ich auch gerne eine FortiGate einbauen.

Ich muss mir nun aber sicher sein, dass ich mit der FortiGate das aktuelle Netzwerk genauso weiter betreiben kann, wie ich es bis jetzt mit dem Netgear Router betrieben habe. Leider finde ich im Internet nicht viel zu FortiGate und Protocol Binding.

Könnt Ihr mir sagen, ob das möglich ist? Load Balancing zwischen WAN1 und WAN2 aber spezifische Protokolle an WAN1 oder WAN2 zu binden?

Was ich gefunden habe:
http://nullhaus.com/2014/02/fortigate-wan-load-balancing/
http://kb.fortinet.com/kb/documentLink.do?popup=true&externalID=103 ...
https://www.youtube.com/watch?v=P0oshKYvFY8

Was haltet ihr davon?

Unser Hauptstandort hat ca. 20 Mitarbeiter und das Branch Office ca. 3 - 5.

Vielen Dank und Grüsse
jompsi

Content-ID: 263687

Url: https://administrator.de/forum/fortigate-internet-load-balancing-kann-man-protocol-binding-einrichten-263687.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

exchange
exchange 17.02.2015 um 13:42:00 Uhr
Goto Top
Hallo,
aus deinem 1. Link:
"We’ll start from the top with Source IP based, which assigns wan interfaces based on the source IP. Once an internal host makes a connection across the wan interface, all subsequent sessions will traverse the same wan interface. This is the default ECMP method and the simplist."

Alternativ dazu policy based routing.

Wenn man dann jetzt richtig faul ist, geht auch der transparent mode. Dann kann der Netgear drin bleiben. Ist aber meiner Meinung nach keine richtige Lösung.
jompsi
jompsi 17.02.2015 aktualisiert um 14:06:59 Uhr
Goto Top
Hallo

Schon, aber es ist auch so, dass wir beim WAN1 eine statische IP haben und wenn wir auf eine gewisse IP via FTP zugreifen, muss man über das WAN1 raus, weil sonst der Access verweigert wird.

Danke
exellent
exellent 17.02.2015 um 13:59:56 Uhr
Goto Top
Hi Jompsi,

Load Balancing über mehrere Leitungen kein Problem. Als Sharing Algorithmen hast du da Folgendes zur Auswahl:
-Source IP Based
-Weighted Load Balance (Gewichtung einzelner WAN Ports)
-Spillover (Wenn zB. 2Mbit an WAN1 erreicht sind, werden die restlichen Sessions über WAN2 geroutet)
-Destination IP based

Um einzelne Protokolle an ein Interface festzunageln kannst du, wie exchange schon beschrieben hat, policy based routing nutzen. Dort kannst du dann sagen, dass Port 80 über WAN1 rausgehen soll, Port 53 über WAN2, Port 443 über Port4, usw. usw.

Falls du noch Fragen hast, schieß los.

VG
exellent
jompsi
jompsi 17.02.2015 aktualisiert um 14:15:20 Uhr
Goto Top
Dann kann ich also zuerst das Load Balancing einrichten und die Policies internal -> WAN1 -> ALL und internal -> WAN2 -> ALL.

Und um die einzelnen Protokolle an einen WAN Port zu binden, erstelle ich für diese je eine Policy und diese müssen einfach vor der ALL Policy an der Reihe sein. Ist das so korrekt?

Wenn ich nun HTTPS an WAN2 binde, kann es dann nicht sein, dass HTTPS bereits über WAN1 geht? Woher soll WAN1 wissen, dass HTTPS über WAN2 gehen soll, wenn in WAN1 die Policy ALL alles zulässt?

Vielen Dank und freundliche Grüsse
jompsi
exellent
exellent 17.02.2015 um 14:23:56 Uhr
Goto Top
Du kannst auch eine Zone erstellen und WAN1 + WAN2 dort reinpacken dann musst du nicht zwei Policies erstellen (INT -> WAN1 und INT -> WAN2). Damit würdest du dann nur die Zone berechtigen (INT -> Zone_WAN).

Nein, sobald du eine "policy based route" erstellt hast, greift diese immer vor dem normalen Routing Prozess. Hast du in der Policy Based Route eingetragen, dass HTTPS über WAN2 rausgeht, dann wird das auch immer so passieren (Es sei denn WAN2 geht down, dann würde HTTPS automatisch über WAN1 geroutet).
jompsi
jompsi 17.02.2015 um 15:00:26 Uhr
Goto Top
Aha face-smile

Ihr müsst entschuldigen. Habe Router -> Static -> Policy Routes mit Policy & Objects -> Policy -> Policy verwechselt.

Hatte das Gefühl, ich muss das Protocol Binding in Policy & Objects -> Policy -> Policy konfigurieren.

Vielen Dank exchange und exellent

Noch eine Frage. Wie würdet Ihr das Load Balancing erstellen?
1) Router -> Static -> Settings -> ECMP Load Balancing Method
2) System -> Netwrok -> WAN Link Load Balancing
3) Router -> Static -> Static Routes -> die Routes manuell setzen

Bei der Variante 2 gibt es doch ein virtuelles Interface für WAN1 und WAN2 und dadurch kann ich kein Policy Based Routing durchführen, verstehe ich das richtig?
exellent
exellent 17.02.2015 aktualisiert um 15:45:52 Uhr
Goto Top
Gut, dass du es gefunden hast face-smile

1.) Das bleibt dir überlassen. Wenn beide Leitungen die gleiche "Wertigkeit" haben, würde ich es einfach auf dem Default lassen (Source IP based). "Gebalancet" wird dann anhand der Client Source IP Adresse. Sprich IP x geht immer über WAN1, IP y geht immer über WAN2.

2.) WAN Link Load Balancing ist im Prinzip das was ich oben mit der Zone beschrieben habe. Natürlich kannst du kein Policy based Routing auf diese Zone (bzw. WAN Link Load Balancing) legen da dies ja beide Interface WAN1 und WAN2 enthält. Du musst die policy based Route dann entweder auf WAN1 oder WAN2 setzen.

3.) OK, wenn du WAN Link Load Balancing auf der GUI siehst, dann wirst du wahrscheinlich FortiOS 5.2.x installiert haben? Da ist es ziemlich einfach. Du wählst unter System -> Network -> WAN Link Load Balance die Interface Members WAN1 und WAN2 aus, trägst dessen Gateways ein und aktivierst nach Möglichkeit noch einen Health Check im gleichen Fenster. Danach trägst du unter Router -> Static -> Static Routes die Default Route 0.0.0.0/0.0.0.0 ein und wählst dort das Device "wan-load-balance" aus (!!) Fertig face-smile
jompsi
jompsi 17.02.2015 um 17:38:37 Uhr
Goto Top
Jawohl, auf der FortiGate, auf welche ich zurzeit Zugriff habe, ist FortiOS 5.2.2 installiert

Wenn ich wie in Punkt 3 das Interface wan-load-balance erstelle, kann ich dann trotzdem noch unter Policy Based Routes das WAN1 oder WAN2 Interface individuell auswählen?
Habe leider keine FortiGate zum testen und wenn ich eine Fortigate habe, habe ich keine zwei Internetleitungen, welche ich für Testzwecke verwenden kann, deshalb stelle ich diese Frage

Vielen vielen Dank exellent, für deine Geduld und Hilfe!! face-smile
exellent
Lösung exellent 18.02.2015 aktualisiert um 09:28:49 Uhr
Goto Top
Hi Jompsi,

kein Problem, dafür ist die Community ja da face-smile

Ja genau, du kannst danach in den Policy based Routes auch einzeln das WAN1 und WAN2 Interface auswählen.

Fortinet hat eine Demo Kiste im Internet. Da kannst du dir ein paar Sachen angucken (Read only).

https://fortigate.com
User demo
Passwort demo