tumichnix
Goto Top

Zywall dual WAN Routing Problem

Hallo zusammen,

vor ein paar Tagen wurde an einer "Zywall 110" eine zweite Internetleitung angebunden.

- WAN1 -> DHCP (KD (bright-mode))
- WAN2 -> STATIC (QSC)

Nun wird der gesamte Internetverkehr über WAN1 geleitet und mittels "Policy-Routes" werden bestimmte Ziel-IPs über WAN2 geschickt.
So weit, so gut.

Wenn ich nun allerdings versuche von außen (Handy) auf die statische IP (WAN2) zu zugreifen, sehe ich im Firewall-Log das die Pakete angenommen und mit "ACCESS FORWARD" abgesegnet werden. Das Problem ist nun aber das ich einfach keine Rückmeldung auf dem Handy erhalte (es sollte eigentlich der Login zur Firewall kommen). Meine Vermutung ist nun das die Firewall die Pakete an WAN1 zurück schickt.

Im folgenden mal die aktuelle Routing-Tabelle:

IP Address/Netmask Gateway IFace Metric Flags Persist
0.0.0.0/0 91.65.100.254 wan1 0 ASG -
91.65.100.0/24 0.0.0.0 wan1 0 ACG -
127.0.0.0/8 0.0.0.0 lo 0 ACG -
192.168.0.0/24 0.0.0.0 vlan6 0 ACG -
192.168.1.0/24 0.0.0.0 lan1 0 ACG -
192.168.2.0/24 0.0.0.0 lan2 0 ACG -
192.168.5.0/24 0.0.0.0 vlan5 0 ACG -
192.168.7.0/24 0.0.0.0 vlan7 0 ACG -
192.168.254.0/24 0.0.0.0 vlan1 0 ACG -
213.148.X.X/29 0.0.0.0 wan2 0 ACG -


Das ganze führt jetzt dazu das von außen keinerlei Dienste wie VPN oder SFTP mehr zugänglich sind. Überall wird die Verbindung angenommen aber die Clients erhalten einfach keine Rückmeldung.
Eigentlich sollte doch die Firewall selbst erkennen von welchem Interface die Anfrage kommt und entsprechend auch auf diesem eine Antwort geben. Oder habe ich einen entscheidenden Fehler in der Konfiguration / Denkweise?

Ich hoffe, Ihr könnt mir bei meinem Problem etwas auf die Sprünge helfen face-smile

Grüße Tumichnix

Content-ID: 262909

Url: https://administrator.de/forum/zywall-dual-wan-routing-problem-262909.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

sk
sk 10.02.2015 um 19:28:00 Uhr
Goto Top
Poste mal Deine Policy-Routen.

Gruß
sk
transocean
transocean 10.02.2015 um 20:20:23 Uhr
Goto Top
Moin,

ich häng mich hier mal dran, weil ich ein ähnliches Problem mit meiner USG 50 habe. Allerdings betreibe ich die nicht mit Dual WAN sondern mit
virtuellen IP Adressen am WAN 1, um zwei Mailserver hinter der FW und das VPN (L2TP over IPSEC) zu betreiben. Richte ich nun für die beiden Mailserver jeweils ein Static NAT ein, erreiche ich mein Netzwerk hinter der USG 50 nicht mehr per VPN. Ich komme zwar noch auf die USG 50, aber dann ist Schluss.
Stelle ich von Static NAT auf Virtual Server um, klappt es mit der VPN Verbindung ohne Probleme. Die Routen habe ich gemäß Anleitung von Zywall eingerichtet.
Ich sehe gerade das Meer vor lauter Wellen nicht...

Gruß,

Uwe
sk
sk 10.02.2015 um 20:46:01 Uhr
Goto Top
@transocean: Bitte keine Threads kapern!
Teste mal das: https://www.studerus.ch/de/support/knowledgebase/detail/3573
Wenns nicht hilft, eigenen Thread aufmachen und die Konfig genau beschreiben.

Gruß
sk
transocean
transocean 10.02.2015 um 21:07:54 Uhr
Goto Top
Sorry!

Der Link hat mein Problem gelöst. Danke!!

Gruß,

Uwe
tumichnix
tumichnix 11.02.2015 um 09:30:40 Uhr
Goto Top
Hallo sk,

momentan gibt es nur eine Policy-Route:

index: 1
active: yes
auto-disable: no
description: servers-wan2
user: any
schedule: none
interface: any
tunnel: none
sslvpn: none
source: servers-wan2
destination: any
DSCP code: any
service: any
srcport: any
nexthop type: Gateway
nexthop: QSC-GATEWAY
nexthop state: Not support
auto destination: no
SNAT: outgoing-interface
DSCP marking: preserve
connectivity-check: no


Durch diese Policy-Route werden bestimmte Server über WAN2 geroutet. Funktioniert auch prima face-smile
sk
sk 11.02.2015 um 16:29:44 Uhr
Goto Top
Was verbirgt sich hinter dem Objekt "servers-wan2"?
Welche Einstellungen wurden unter Configuration>Network>NAT getätigt?
Welche Einstellungen wurden unter Configuration>Network>Interface>Trunk getätigt?
Bitte Screenshots von Maintenance>"Packet Flow Explore">"Routing Status" und Maintenance>"Packet Flow Explore">"SNAT Status" posten!
tumichnix
tumichnix 12.02.2015 um 08:58:20 Uhr
Goto Top
Was verbirgt sich hinter dem Objekt "servers-wan2"?
Das ist eine Gruppe von Servern welche über "wan2" mit dem WWW kommunizieren.

Welche Einstellungen wurden unter Configuration>Network>NAT getätigt?
Keine.

Welche Einstellungen wurden unter Configuration>Network>Interface>Trunk getätigt?
Hier ist alles auf Default.
Screenshot: http://tumichnix.utapia.de/zywall/trunk.png

Bitte Screenshots von Maintenance>"Packet Flow Explore">"Routing Status" und Maintenance>"Packet
Flow Explore">"SNAT Status" posten!

Routing-Status:
http://tumichnix.utapia.de/zywall/rs-dr.png
http://tumichnix.utapia.de/zywall/rs-pr.png
http://tumichnix.utapia.de/zywall/rs-dwt.png
http://tumichnix.utapia.de/zywall/rs-mr.png

SNAT Status:
http://tumichnix.utapia.de/zywall/snat-rps.png
http://tumichnix.utapia.de/zywall/snat-ds.png

Hab nur Screenshots von den Bereichen gemacht wo auch etwas izu sehen ist.
Im großen und ganzen läuft die Firewall so ziemlich im Default-Modus.

Danke schon mal für deine Hilfe!
sk
sk 12.02.2015 aktualisiert um 18:23:56 Uhr
Goto Top
Hallo,

Zitat von @tumichnix:
> Was verbirgt sich hinter dem Objekt "servers-wan2"?
Das ist eine Gruppe von Servern welche über "wan2" mit dem WWW kommunizieren.

Hmm. Eine etwas genauere Angabe (nämlich die IP-Adressen) hätte ich mir schon gewünscht. Dass sich dahinter nicht ein Pfund Mett verbirgt, hatte ich mir schon gedacht. face-wink
Ich interpretiere Deine Antwort so, dass es sich hierbei um Server innerhalb Deines Netzes (und damit um "private" IP-Adressen) handelt - nicht um solche, die aus Deiner Sicht im Internet stehen. Diese Interpretation würde sich auch mit der von Dir wiedergegebenen Policy-Route decken, denn dort ist das Objekt "servers-wan2" als Source-Objekt hinterlegt. Allerdings widerspricht diese Interpretation Deinem Eröffnungsposting, denn dort hast Du geschrieben, dass "mittels Policy-Routes ... bestimmte Ziel-IPs über WAN2 geschickt" werden.

Generell widersprechen die zuletzt geposteten Screenshots diametral Deinen bisherigen Kernaussagen. Es existiert offenkundig nicht nur eine Policyroute, sondern derer vier:
Die erste betrifft Traffic aus einem VPN-Tunnel. Der Sinn dessen ist mir nicht klar.
Die zweite sorgt dafür, dass sämtlicher Traffic, der durch die USG geroutet wird und dessen Ziel mit der USG nicht directly connected ist, über WAN2 geroutet wird. Im Moment läuft also entgegen Deiner obigen Angabe überhaupt kein von innen ins Internet initiierter Traffic über WAN1.
Die dritte und vierte Policyroute erzwingen nochmal explizit, dass Traffic aus dem gesamten Netz 192.168.0.0/24 (vlan6) an zwei bestimmte Ziel-IPs im Internet immer über WAN2 geroutet werden.

Zwischenanmerkung:
Die Policyrouten 3 und 4 sind wirkungslos, da Regel 2 bereits das gleiche bewirkt. Ich vermute, Du hast die 2. Policyroute zu Testzwecken reingenommen und Regel 3 und 4 geben den eigentlich gewünschten Regelungsinhalt wieder (wobei sich dieser auch von der oben wiedergebenen Policyroute unterscheidet).
Bedenke, dass ein Deaktivieren/Löschen der Regel 2 nicht wie von Dir gewünscht bewirkt, dass der Traffic, der nicht von den Policyrouten 3 und 4 erfasst wird, zwingend über WAN1 läuft. Vielmehr erfolgt hierfür ein sessionbasiertes gewichtetes Loadbalancing auf WAN1 und WAN2, da dann der Default-WAN-Trunk greift.

Aber zurück zum Thema:
Wenn auch in dem Konfigurationszustand der Screenshots keine Kommunikation von extern zum WAN2-Interface möglich ist, liegt dies entgegen Deiner Vermutung mit an Sicherheit grenzender Wahrscheinlichkeit nicht daran, dass der Antworttraffic fälschlicherweise über WAN1 zurückgeroutet wird. Eine diesbezügliche Fehlkonfiguration kann ich in den vorliegenden Screenshots nicht erblicken und einen so massiven Bug können wir auch ausschließen. Der wäre mir bekannt (und mir sind etliche bekannt face-wink ). Der Grund, weshalb es nicht wie gewünscht funktioniert, dürfte an anderer Stelle der Konfiguration zu suchen sein. Z.B. im Firewallregelwerk.

Wie geht es nun weiter? Man kann hier schwerlich helfen, wenn sich die Angaben so stark von der tatsächlichen Konfiguration unterscheiden. Bitte konfiguriere die USG so, wie Du glaubst, dass sie das von Dir gewünschte Verhalten zeigen müsste und lass alle Debuggingversuche aus der Konfig raus. Dann nochmal testen. Wenns nicht geht: Konfigfile in Gänze posten oder mir per PN schicken (ist ein Klartextfile; Kennwörter bitte ausiXXXsen). Dann den gewünschten Zustand posten und wiedergeben, was nicht wie gewünscht funktioniert. Dann können wir uns dem Problem methodisch nähern.

Gruß
sk
tumichnix
tumichnix 12.02.2015 um 18:24:39 Uhr
Goto Top
Hallo sk,

Ich interpretiere Deine Antwort so, dass es sich hierbei um Server innerhalb Deines Netzes (und damit um "private"
IP-Adressen) handelt - nicht um solche, die aus Deiner Sicht im Internet stehen.
Korrekt.

Allerdings widerspricht diese Interpretation Deinem Eröffnungsposting, denn dort hast Du geschrieben, dass "mittels
"Policy-Routes" ... bestimmte Ziel-IPs über WAN2 geschickt" werden.
Damit meinte ich das die IPs aus der Gruppe "servers-wan2" nach Außen immer über WAN2 gehen sollen und nie über WAN1.

Generell widersprechen die zuletzt geposteten Screenshots diametral Deinen bisherigen Kernaussagen. Es existiert nicht nur eine
Policyroute, sondern derer vier:
Richtig, in der Zwischenzeit wurde noch etwas an der FW rumgetestet.

Die erste betrifft Traffic aus einem VPN-Tunnel. Der Sinn dessen ist mir nicht klar.
Ist nur ein Test gewesen!

Die zweite sorgt dafür, dass sämtlicher Traffic, der durch die USG geroutet wird und dessen Ziel mit der USG nicht
directly connected ist, über WAN2 geroutet wird. Im Moment läuft also entgegen Deiner obigen Angabe überhaupt kein
von innen ins Internet initiierter Traffic über WAN1.
Kann ich so leider nicht unterzeichnen. Alle Clients welche nicht expliziert per Policy-Route konfiguriert sind gehen definitiv auf WAN1 raus..

Die dritte und vierte Policyroute erzwingen nochmal explizit, dass Traffic aus dem gesamten Netz 192.168.0.0/24 (vlan6) an zwei
bestimmte Ziel-IPs im Internet immer über WAN2 geroutet werden sollen.
Richtig. Das ist auch so gewünscht und funktioniert auch.

Bedenke, dass ein Deaktivieren der Regel 2 nicht wie von Dir gewünscht bewirkt, dass der Traffic, der nicht von den
Policyrouten 3 und 4 erfasst wird, zwingend über WAN1 läuft. Vielmehr erfolgt hierfür ein sessionbasiertes
gewichtetes Loadbalancing auf WAN1 und WAN2, da dann der Default-WAN-Trunk greift.
Stimmt, Das wurde bis jetzt von mir noch überhaupt nicht beachtet. Danke für den Hinweis.

Aber zurück zum Thema:
Wenn auch in dem Konfigurationszustand der Screenshots keine Kommunikation von extern zum WAN2-Interface möglich ist, liegt
dies entgegen Deiner Vermutung mit an Sicherheit grenzender Wahrscheinlichkeit nicht daran, dass der Antworttraffic
fälschlicherweise über WAN1 zurückgeroutet wird. Eine diesbezügliche Fehlkonfiguration kann ich in den
vorliegenden Screenshots nicht erblicken und einen so massiven Bug können wir auch ausschließen. Der wäre mir
bekannt (und mir sind etliche bekannt face-wink ). Der Grund, weshalb es nicht wie gewünscht funktioniert, dürfte an anderer
Stelle der Konfiguration zu suchen sein. Z.B. im Firewallregelwerk.
Werde Morgen noch mal einen Screenshot der FW-Regeln posten!

Wie geht es nun weiter? Man kann hier schwerlich helfen, wenn sich die Angaben so stark von der tatsächlichen Konfiguration
unterscheiden. Bitte konfiguriere die USG so, wie Du glaubst, dass sie das von Dir gewünschte Verhalten zeigen müsste
und lass alle Debuggingversuche aus der Konfig raus. Dann nochmal testen.
Wird gemacht (Morgen).

Schon mal vielen Dank für dein Bemühen!

Grüße Tumichnix