Zywall dual WAN Routing Problem
Hallo zusammen,
vor ein paar Tagen wurde an einer "Zywall 110" eine zweite Internetleitung angebunden.
- WAN1 -> DHCP (KD (bright-mode))
- WAN2 -> STATIC (QSC)
Nun wird der gesamte Internetverkehr über WAN1 geleitet und mittels "Policy-Routes" werden bestimmte Ziel-IPs über WAN2 geschickt.
So weit, so gut.
Wenn ich nun allerdings versuche von außen (Handy) auf die statische IP (WAN2) zu zugreifen, sehe ich im Firewall-Log das die Pakete angenommen und mit "ACCESS FORWARD" abgesegnet werden. Das Problem ist nun aber das ich einfach keine Rückmeldung auf dem Handy erhalte (es sollte eigentlich der Login zur Firewall kommen). Meine Vermutung ist nun das die Firewall die Pakete an WAN1 zurück schickt.
Im folgenden mal die aktuelle Routing-Tabelle:
IP Address/Netmask Gateway IFace Metric Flags Persist
0.0.0.0/0 91.65.100.254 wan1 0 ASG -
91.65.100.0/24 0.0.0.0 wan1 0 ACG -
127.0.0.0/8 0.0.0.0 lo 0 ACG -
192.168.0.0/24 0.0.0.0 vlan6 0 ACG -
192.168.1.0/24 0.0.0.0 lan1 0 ACG -
192.168.2.0/24 0.0.0.0 lan2 0 ACG -
192.168.5.0/24 0.0.0.0 vlan5 0 ACG -
192.168.7.0/24 0.0.0.0 vlan7 0 ACG -
192.168.254.0/24 0.0.0.0 vlan1 0 ACG -
213.148.X.X/29 0.0.0.0 wan2 0 ACG -
Das ganze führt jetzt dazu das von außen keinerlei Dienste wie VPN oder SFTP mehr zugänglich sind. Überall wird die Verbindung angenommen aber die Clients erhalten einfach keine Rückmeldung.
Eigentlich sollte doch die Firewall selbst erkennen von welchem Interface die Anfrage kommt und entsprechend auch auf diesem eine Antwort geben. Oder habe ich einen entscheidenden Fehler in der Konfiguration / Denkweise?
Ich hoffe, Ihr könnt mir bei meinem Problem etwas auf die Sprünge helfen
Grüße Tumichnix
vor ein paar Tagen wurde an einer "Zywall 110" eine zweite Internetleitung angebunden.
- WAN1 -> DHCP (KD (bright-mode))
- WAN2 -> STATIC (QSC)
Nun wird der gesamte Internetverkehr über WAN1 geleitet und mittels "Policy-Routes" werden bestimmte Ziel-IPs über WAN2 geschickt.
So weit, so gut.
Wenn ich nun allerdings versuche von außen (Handy) auf die statische IP (WAN2) zu zugreifen, sehe ich im Firewall-Log das die Pakete angenommen und mit "ACCESS FORWARD" abgesegnet werden. Das Problem ist nun aber das ich einfach keine Rückmeldung auf dem Handy erhalte (es sollte eigentlich der Login zur Firewall kommen). Meine Vermutung ist nun das die Firewall die Pakete an WAN1 zurück schickt.
Im folgenden mal die aktuelle Routing-Tabelle:
IP Address/Netmask Gateway IFace Metric Flags Persist
0.0.0.0/0 91.65.100.254 wan1 0 ASG -
91.65.100.0/24 0.0.0.0 wan1 0 ACG -
127.0.0.0/8 0.0.0.0 lo 0 ACG -
192.168.0.0/24 0.0.0.0 vlan6 0 ACG -
192.168.1.0/24 0.0.0.0 lan1 0 ACG -
192.168.2.0/24 0.0.0.0 lan2 0 ACG -
192.168.5.0/24 0.0.0.0 vlan5 0 ACG -
192.168.7.0/24 0.0.0.0 vlan7 0 ACG -
192.168.254.0/24 0.0.0.0 vlan1 0 ACG -
213.148.X.X/29 0.0.0.0 wan2 0 ACG -
Das ganze führt jetzt dazu das von außen keinerlei Dienste wie VPN oder SFTP mehr zugänglich sind. Überall wird die Verbindung angenommen aber die Clients erhalten einfach keine Rückmeldung.
Eigentlich sollte doch die Firewall selbst erkennen von welchem Interface die Anfrage kommt und entsprechend auch auf diesem eine Antwort geben. Oder habe ich einen entscheidenden Fehler in der Konfiguration / Denkweise?
Ich hoffe, Ihr könnt mir bei meinem Problem etwas auf die Sprünge helfen
Grüße Tumichnix
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 262909
Url: https://administrator.de/forum/zywall-dual-wan-routing-problem-262909.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
9 Kommentare
Neuester Kommentar
Moin,
ich häng mich hier mal dran, weil ich ein ähnliches Problem mit meiner USG 50 habe. Allerdings betreibe ich die nicht mit Dual WAN sondern mit
virtuellen IP Adressen am WAN 1, um zwei Mailserver hinter der FW und das VPN (L2TP over IPSEC) zu betreiben. Richte ich nun für die beiden Mailserver jeweils ein Static NAT ein, erreiche ich mein Netzwerk hinter der USG 50 nicht mehr per VPN. Ich komme zwar noch auf die USG 50, aber dann ist Schluss.
Stelle ich von Static NAT auf Virtual Server um, klappt es mit der VPN Verbindung ohne Probleme. Die Routen habe ich gemäß Anleitung von Zywall eingerichtet.
Ich sehe gerade das Meer vor lauter Wellen nicht...
Gruß,
Uwe
ich häng mich hier mal dran, weil ich ein ähnliches Problem mit meiner USG 50 habe. Allerdings betreibe ich die nicht mit Dual WAN sondern mit
virtuellen IP Adressen am WAN 1, um zwei Mailserver hinter der FW und das VPN (L2TP over IPSEC) zu betreiben. Richte ich nun für die beiden Mailserver jeweils ein Static NAT ein, erreiche ich mein Netzwerk hinter der USG 50 nicht mehr per VPN. Ich komme zwar noch auf die USG 50, aber dann ist Schluss.
Stelle ich von Static NAT auf Virtual Server um, klappt es mit der VPN Verbindung ohne Probleme. Die Routen habe ich gemäß Anleitung von Zywall eingerichtet.
Ich sehe gerade das Meer vor lauter Wellen nicht...
Gruß,
Uwe
@transocean: Bitte keine Threads kapern!
Teste mal das: https://www.studerus.ch/de/support/knowledgebase/detail/3573
Wenns nicht hilft, eigenen Thread aufmachen und die Konfig genau beschreiben.
Gruß
sk
Teste mal das: https://www.studerus.ch/de/support/knowledgebase/detail/3573
Wenns nicht hilft, eigenen Thread aufmachen und die Konfig genau beschreiben.
Gruß
sk
Was verbirgt sich hinter dem Objekt "servers-wan2"?
Welche Einstellungen wurden unter Configuration>Network>NAT getätigt?
Welche Einstellungen wurden unter Configuration>Network>Interface>Trunk getätigt?
Bitte Screenshots von Maintenance>"Packet Flow Explore">"Routing Status" und Maintenance>"Packet Flow Explore">"SNAT Status" posten!
Welche Einstellungen wurden unter Configuration>Network>NAT getätigt?
Welche Einstellungen wurden unter Configuration>Network>Interface>Trunk getätigt?
Bitte Screenshots von Maintenance>"Packet Flow Explore">"Routing Status" und Maintenance>"Packet Flow Explore">"SNAT Status" posten!
Hallo,
Hmm. Eine etwas genauere Angabe (nämlich die IP-Adressen) hätte ich mir schon gewünscht. Dass sich dahinter nicht ein Pfund Mett verbirgt, hatte ich mir schon gedacht.
Ich interpretiere Deine Antwort so, dass es sich hierbei um Server innerhalb Deines Netzes (und damit um "private" IP-Adressen) handelt - nicht um solche, die aus Deiner Sicht im Internet stehen. Diese Interpretation würde sich auch mit der von Dir wiedergegebenen Policy-Route decken, denn dort ist das Objekt "servers-wan2" als Source-Objekt hinterlegt. Allerdings widerspricht diese Interpretation Deinem Eröffnungsposting, denn dort hast Du geschrieben, dass "mittels Policy-Routes ... bestimmte Ziel-IPs über WAN2 geschickt" werden.
Generell widersprechen die zuletzt geposteten Screenshots diametral Deinen bisherigen Kernaussagen. Es existiert offenkundig nicht nur eine Policyroute, sondern derer vier:
Die erste betrifft Traffic aus einem VPN-Tunnel. Der Sinn dessen ist mir nicht klar.
Die zweite sorgt dafür, dass sämtlicher Traffic, der durch die USG geroutet wird und dessen Ziel mit der USG nicht directly connected ist, über WAN2 geroutet wird. Im Moment läuft also entgegen Deiner obigen Angabe überhaupt kein von innen ins Internet initiierter Traffic über WAN1.
Die dritte und vierte Policyroute erzwingen nochmal explizit, dass Traffic aus dem gesamten Netz 192.168.0.0/24 (vlan6) an zwei bestimmte Ziel-IPs im Internet immer über WAN2 geroutet werden.
Zwischenanmerkung:
Die Policyrouten 3 und 4 sind wirkungslos, da Regel 2 bereits das gleiche bewirkt. Ich vermute, Du hast die 2. Policyroute zu Testzwecken reingenommen und Regel 3 und 4 geben den eigentlich gewünschten Regelungsinhalt wieder (wobei sich dieser auch von der oben wiedergebenen Policyroute unterscheidet).
Bedenke, dass ein Deaktivieren/Löschen der Regel 2 nicht wie von Dir gewünscht bewirkt, dass der Traffic, der nicht von den Policyrouten 3 und 4 erfasst wird, zwingend über WAN1 läuft. Vielmehr erfolgt hierfür ein sessionbasiertes gewichtetes Loadbalancing auf WAN1 und WAN2, da dann der Default-WAN-Trunk greift.
Aber zurück zum Thema:
Wenn auch in dem Konfigurationszustand der Screenshots keine Kommunikation von extern zum WAN2-Interface möglich ist, liegt dies entgegen Deiner Vermutung mit an Sicherheit grenzender Wahrscheinlichkeit nicht daran, dass der Antworttraffic fälschlicherweise über WAN1 zurückgeroutet wird. Eine diesbezügliche Fehlkonfiguration kann ich in den vorliegenden Screenshots nicht erblicken und einen so massiven Bug können wir auch ausschließen. Der wäre mir bekannt (und mir sind etliche bekannt ). Der Grund, weshalb es nicht wie gewünscht funktioniert, dürfte an anderer Stelle der Konfiguration zu suchen sein. Z.B. im Firewallregelwerk.
Wie geht es nun weiter? Man kann hier schwerlich helfen, wenn sich die Angaben so stark von der tatsächlichen Konfiguration unterscheiden. Bitte konfiguriere die USG so, wie Du glaubst, dass sie das von Dir gewünschte Verhalten zeigen müsste und lass alle Debuggingversuche aus der Konfig raus. Dann nochmal testen. Wenns nicht geht: Konfigfile in Gänze posten oder mir per PN schicken (ist ein Klartextfile; Kennwörter bitte ausiXXXsen). Dann den gewünschten Zustand posten und wiedergeben, was nicht wie gewünscht funktioniert. Dann können wir uns dem Problem methodisch nähern.
Gruß
sk
Zitat von @tumichnix:
> Was verbirgt sich hinter dem Objekt "servers-wan2"?
Das ist eine Gruppe von Servern welche über "wan2" mit dem WWW kommunizieren.
> Was verbirgt sich hinter dem Objekt "servers-wan2"?
Das ist eine Gruppe von Servern welche über "wan2" mit dem WWW kommunizieren.
Hmm. Eine etwas genauere Angabe (nämlich die IP-Adressen) hätte ich mir schon gewünscht. Dass sich dahinter nicht ein Pfund Mett verbirgt, hatte ich mir schon gedacht.
Ich interpretiere Deine Antwort so, dass es sich hierbei um Server innerhalb Deines Netzes (und damit um "private" IP-Adressen) handelt - nicht um solche, die aus Deiner Sicht im Internet stehen. Diese Interpretation würde sich auch mit der von Dir wiedergegebenen Policy-Route decken, denn dort ist das Objekt "servers-wan2" als Source-Objekt hinterlegt. Allerdings widerspricht diese Interpretation Deinem Eröffnungsposting, denn dort hast Du geschrieben, dass "mittels Policy-Routes ... bestimmte Ziel-IPs über WAN2 geschickt" werden.
Generell widersprechen die zuletzt geposteten Screenshots diametral Deinen bisherigen Kernaussagen. Es existiert offenkundig nicht nur eine Policyroute, sondern derer vier:
Die erste betrifft Traffic aus einem VPN-Tunnel. Der Sinn dessen ist mir nicht klar.
Die zweite sorgt dafür, dass sämtlicher Traffic, der durch die USG geroutet wird und dessen Ziel mit der USG nicht directly connected ist, über WAN2 geroutet wird. Im Moment läuft also entgegen Deiner obigen Angabe überhaupt kein von innen ins Internet initiierter Traffic über WAN1.
Die dritte und vierte Policyroute erzwingen nochmal explizit, dass Traffic aus dem gesamten Netz 192.168.0.0/24 (vlan6) an zwei bestimmte Ziel-IPs im Internet immer über WAN2 geroutet werden.
Zwischenanmerkung:
Die Policyrouten 3 und 4 sind wirkungslos, da Regel 2 bereits das gleiche bewirkt. Ich vermute, Du hast die 2. Policyroute zu Testzwecken reingenommen und Regel 3 und 4 geben den eigentlich gewünschten Regelungsinhalt wieder (wobei sich dieser auch von der oben wiedergebenen Policyroute unterscheidet).
Bedenke, dass ein Deaktivieren/Löschen der Regel 2 nicht wie von Dir gewünscht bewirkt, dass der Traffic, der nicht von den Policyrouten 3 und 4 erfasst wird, zwingend über WAN1 läuft. Vielmehr erfolgt hierfür ein sessionbasiertes gewichtetes Loadbalancing auf WAN1 und WAN2, da dann der Default-WAN-Trunk greift.
Aber zurück zum Thema:
Wenn auch in dem Konfigurationszustand der Screenshots keine Kommunikation von extern zum WAN2-Interface möglich ist, liegt dies entgegen Deiner Vermutung mit an Sicherheit grenzender Wahrscheinlichkeit nicht daran, dass der Antworttraffic fälschlicherweise über WAN1 zurückgeroutet wird. Eine diesbezügliche Fehlkonfiguration kann ich in den vorliegenden Screenshots nicht erblicken und einen so massiven Bug können wir auch ausschließen. Der wäre mir bekannt (und mir sind etliche bekannt ). Der Grund, weshalb es nicht wie gewünscht funktioniert, dürfte an anderer Stelle der Konfiguration zu suchen sein. Z.B. im Firewallregelwerk.
Wie geht es nun weiter? Man kann hier schwerlich helfen, wenn sich die Angaben so stark von der tatsächlichen Konfiguration unterscheiden. Bitte konfiguriere die USG so, wie Du glaubst, dass sie das von Dir gewünschte Verhalten zeigen müsste und lass alle Debuggingversuche aus der Konfig raus. Dann nochmal testen. Wenns nicht geht: Konfigfile in Gänze posten oder mir per PN schicken (ist ein Klartextfile; Kennwörter bitte ausiXXXsen). Dann den gewünschten Zustand posten und wiedergeben, was nicht wie gewünscht funktioniert. Dann können wir uns dem Problem methodisch nähern.
Gruß
sk