fr4nki
Goto Top

Watchguard Firewall - Ganzes Subnetz über zweite Internetleitung routen

Hallo Zusammen,

ich stehe gerade vor der folgenden Herausforderung.

Auf eine bestehende Watchguard Firewall wurde eine zweite Internetleitung geschaltet.

Diese Leitung soll nur für Anfragen aus einem speziellen Subnetz der Watchguard genutzt werden.

Zusammengefasst:

Subnetz A nutzt Internetleitung A
Subnetz B nutzt Internetleitung B

Leider bekomme ich das nicht so richtig dargestellt, egal was ich versucht habe, wenn ich von Subnetz B aus ins Internet gehe, wird mir die IP von Internetleitung A angezeigt.

Freu mich auf Ideen.

VG
Chris

Content-Key: 621118

Url: https://administrator.de/contentid/621118

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: Razer1
Razer1 10.11.2020 um 14:20:44 Uhr
Goto Top
Moin,

gut zu wissen wäre eventuell was du schon versucht hast ?

Gruß
Mitglied: Fr4nki
Fr4nki 10.11.2020 um 14:43:28 Uhr
Goto Top
Klar, das wäre nicht schlecht.

Zuerst habe ich eine Policy Any from Subnetz B to Any-External angelegt. In dieser Policy habe ich die Option Set source IP aktiviert und die Interface IP der Watchguard Internetleitung B eingetragen.

Unter NAT habe ich ein Dynamic NAT eingetragen
From Subnetz B to Any External set source IP: Watchguard IP Internetleitung B
Mitglied: aqui
aqui 10.11.2020 aktualisiert um 15:22:24 Uhr
Goto Top
Simpler Klassiker mit Policy Based Routing und 3 Sek. bei Dr. Google:
http://www.watchguard.com/help/docs/fireware/12/en-us/Content/en-US/pol ...

Das Grundprinzip von Policy Based Routing ist auch in diesem Thread erklärt:
Cisco Router 2 Gateways für verschiedene Clients
Mitglied: Deepsys
Deepsys 10.11.2020 um 15:44:07 Uhr
Goto Top
Hallo,

Zitat von @Fr4nki:
Zuerst habe ich eine Policy Any from Subnetz B to Any-External angelegt. In dieser Policy habe ich die Option Set source IP aktiviert und die Interface IP der Watchguard Internetleitung B eingetragen.

Das hast du falsch verstanden, falsche Option.
Und das Any machst du auch mal schnell weg, OK?
HTTP-Proxy, HTTPS-Proxy und andere spezielle Policies sind deine Freunde.
Sonst ist das keine Firewall sondern ein Router ...

aqui hat Recht, Policy Based Routing ist dein Freund face-wink
SD-WAN müsste auch gehen
Mitglied: Komabaer
Lösung Komabaer 10.11.2020 um 15:44:11 Uhr
Goto Top
Zitat von @aqui:

Simpler Klassiker mit Policy Based Routing und 3 Sek. bei Dr. Google:
http://www.watchguard.com/help/docs/fireware/12/en-us/Content/en-US/pol ...

Das Grundprinzip von Policy Based Routing ist auch in diesem Thread erklärt:
Cisco Router 2 Gateways für verschiedene Clients

Das könnte zur Verwirrung führen, denn ab der 12.3 Version der Watchguard Firmware gibt es PBR nicht mehr. Das heißt jetzt SD-WAN und wird ein wenig anders konfiguriert.

In deinem Fall würde ich zwei Regeln erstellen.
In das FROM Feld wird jeweils das Subnetz eingetragen und in das TO Feld Any-External oder wo auch immer hin.
Dann konfigurierst du dir dein SD-Wan so wie du es benötigst und hinterlegst das ganze in der jeweiligen Regel.
Musst nur aufpassen das nicht eine andere Regel diese wieder aushebelt. Watchguard hat Standardmäßig die Outgoing Regel aktiv welche Any-Any erlaubt.
Mitglied: Deepsys
Deepsys 10.11.2020 um 15:45:55 Uhr
Goto Top
Musst nur aufpassen das nicht eine andere Regel diese wieder aushebelt. Watchguard hat Standardmäßig die Outgoing Regel aktiv welche Any-Any erlaubt.
Diese Policy sollte man direkt löschen, das die immer noch drin ist.
Klar, die macht keinen Ärger, aber dann brauche ich keine Firewall
Mitglied: Fr4nki
Fr4nki 10.11.2020 um 16:49:03 Uhr
Goto Top
Hallo Zusammen,

danke für die Infos.

Mit SD-WAN konnte ich die Thematik lösen.

Any war nur zum testen ob die Lösung funktioniert.
Es wurde mitlerweile auf einen einzelnen Port eingeschränkt.
Mitglied: Komabaer
Komabaer 11.11.2020 um 09:51:26 Uhr
Goto Top
Zitat von @Deepsys:

Musst nur aufpassen das nicht eine andere Regel diese wieder aushebelt. Watchguard hat Standardmäßig die Outgoing Regel aktiv welche Any-Any erlaubt.
Diese Policy sollte man direkt löschen, das die immer noch drin ist.
Klar, die macht keinen Ärger, aber dann brauche ich keine Firewall

Korrekt, schon bei vielen Kunden erlebt das diese noch aktiv war.
Deswegen fliegt diese als erstes immer raus.