philipp711
Goto Top

Starlink public IP kein funktionierendes Multipathing bei Sophos UTM

Hallo liebe Community,

wir haben uns einen Starlink Business Account mit der Option einer festen IP-Adresse "gegönnt". Der Starlink soll unsere Backup-Leitung werden, wenn sämtliche lokalen Quellen ausfallen. LTE war/ist keine Option, da auch bei einem längeren Stromausfall eine Verbindung nötig sein muss (wir haben ein Dieselaggregat im Keller). Neben dem Starlink betreiben wir einen Deutschland LAN Connect IP der Telekom. Als Firewall verwenden wir eine Sophos UTM.

Auf der UTM haben wir den Uplink-Ausgleich aktiviert. Über Multipath-Regeln möchten wir festlegen, dass Web-Traffic und Filetransfers fix über den Starlink geroutet werden. Alles andere soll über den DCIP laufen. Sollte dann mal der Strom ausfallen und der DCIP "weg" sein, sollte der Uplink-Ausgleich greifen und in diesem Fall dann sämtlichen Verkehr über Starlink pushen.

Wir haben uns den Business-Tarif geholt, da wir auf die fix IP angewiesen sind - der Starlink soll auch als Backup-Ziel für unsere VPNs dienen, wenn der DCIP weg ist.

Wir haben jetzt nur ein Problem:

Belassen wir die IP-Policy des Starlink auf "Default" funktioniert das oben genannte Szenario einwandfrei - die Sophos routet den Webtraffic über den Starlink und alles andere läuft auf dem DCIP - in diesem Szenario nutzt Starlink keine persistente IP und macht CGNat. Wie in der Anleitung des Starlink definiert stellen wir die IP-Policy auf "Public IP" um und starten die Kiste neu - wir erhalten eine andere (fixe) IP-Adresse. Allerdings funktioniert jetzt der Uplink-Ausgleich nicht mehr...die Sophos routet jetzt alles über den DCIP als ob der Starlink-Uplink nicht verfügbar ist. Lustig wird's aber erst dann, wenn man händisch den DCIP ausschaltet - erst danach routet die Sophos wieder über den Starlink (hat ja theoretisch keine andere Chance mehr).

Zusammengefasst hat anscheinend der Uplink-Ausgleich der Sophos irgendwie ein Problem mit der festen IP-Policy des Starlinks. Habt ihr dazu irgendwie eine Idee??

Content-Key: 81941819230

Url: https://administrator.de/contentid/81941819230

Printed on: February 23, 2024 at 06:02 o'clock

Member: Philipp711
Solution Philipp711 Nov 27, 2023 at 16:50:12 (UTC)
Goto Top
Konnten es selbst heraus finden:

Der Uplink-Ausgleich der Sophos basiert technisch in den Standardeinstellungen auf einem Tracert zu einem der DNS-Root-Server. Die Sophos geht davon aus, dass der Link weg ist, wenn der Tracert ab dem dritten Hop keine valide Rückmeldung bekommt.

Bei uns war es so, dass beim Starlink-Uplink im Standardmodus sämtliche Hops im Tracert eine Rückmeldung gegeben haben. Sobald man aber auf die fixe Public-IP umgestellt hat, sind mittendrin ab Hop 3 bis Hop 6 keine ICMP-Antworten mehr angekommen...erst "danach" ging es wieder weiter. Für die Sophos hat das aber bedeutet, dass der Link down war und dieser wurde nicht mehr genutzt.

Durch umstellen der Sophos auf ein festes "Heartbeat-Ziel", in diesem Fall google.de, checkt diese nur noch die Verfügubarkeit von Google über diesen Link und verzichtet auf die Auswertung des Tracerts.