1781EF+ mit 2x Internet (Routing Tag) und 2 lokalen Netzen

[Raudi]

Hallo,

ich habe eben schon mit dem LANCOM Support telefoniert, aber der Kollege dort hatte leider keine Idee wie man mein Problem lösen kann, bzw. wie ich das hier konfigurieren muss.

Also folgende Konfiguration:

Am LAN Port 1 mit dem LAN-1: 192.168.99.x
Am LAN Port 4 mit dem LAN-2: 192.168.97.x

Am WAN Port mit DSL-1 hängt ein Internet Anschluss
Am LAN Port 3 mit DSL-2 hängt der 2. Internet Anschluss

Der erste Internet Anschluss hat bei der Default Route das Tag 0 drin stehen und der 2. Internet Anschluss bei der Default Route das Tag 1.

Es gibt in der Firewall eine Deny All Regel und eine Regel in der das 99er und 97er Netz sowohl als Quelle und Ziel eingetragen ist um das lokale Routing zu erlauben.

Soweit würde noch alles wunderbar funktionieren.

Aber ändere ich nun die Firewall Regel, so dass HTTP, HTTPS und FTP über das Tag 1 geroutet werden soll, wenn Quelle das 99er Netz und Ziel der 2. Internet Anschluss ist, dann komme ich nicht mehr mit diesen Protokollen in das 97er Netz.

In einem Trace kann ich sehen, dass die Pakete für das 97er Netz Richtung 2. Internet Anschluss geroutet werden.

Warum? Das ist doch ein lokales Interface, warum Richtung Interface? Wie kann ich das verhindern? Bzw. was habe ich falsch gemacht?

Wäre für einen Tipp dankbar!

Viele Grüße
Stefan

[hyperjojo]

Hallo,

ich gehe davon aus, dass die lokalen Netze beide Schnittstellen Tag 0 haben.
Wenn du die Firewall-Regel für das Routing-Tag 1 in der Priorität nach oben schiebst, sollte es gehen. Dann greift diese zuerst für lokale Routings. Handelt es sich aber nicht um ein lokales Routing greift die nächstmögliche Regel, welche dann das korrekte Routing-Tag setzt (sofern keine weiteren Regeln vorhanden sind, welche auf das Paket matchen).

So zumindest aus dem Kopf ohne es zu testen...

Gruß hyperjojo

[Raudi]

danke für die schnelle Antwort, aber leider keine Änderung:

Code: Alles auswählen

[IP-Router] 2015/09/30 10:53:21,917  Devicetime: 2015/09/30 10:53:22,222
IP-Router Rx (LAN-1, INTRANET, RtgTag: 1): 
DstIP: 192.168.97.43, SrcIP: 192.168.99.20, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 34983, Flags: S
Seq: 3621372698, Ack: 0, Win: 14600, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = 18 75 61 80 00 00 00 00
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Route: WAN Tx (KABEL-200)

Bekommt immer noch das Tag 1 und soll somit in Richtung WAN gehen.

Ich hatte schon mal versucht dem lokalen Routing eine höhere Priorität zu geben, so dass das lokale Routing dem Routing ins Internet vorrang hat, aber das klappt auch nicht.

Und dann dachte ich gerade noch, kopiere mal das Aktions-Objekt ACCEPT nach ACCEPT-DEFAULT-ROUTE und setze darin den haken "Aktion nur für Default-Route", setze dieses in der Regel wo das Tag 1 gesetzt wird, aber das ändert leider auch nichts...

[hyperjojo]

hi,

poste bitte mal dein Firewall-Regelwerk.

Gruß hyperjojo

[Raudi]

Habe ich dir als PM gesendet...

Konnte man nicht irgendwo mal die Config ohne Kennwörter speichern?

[Dr.Einstein]

Hallo Raudi,

LanTracer starten -> trace starten, stoppen, Support Datei speichern. Name der Supportdatei umbenennen in .lcf

Gruß Dr.Einstein

[hyperjojo]

Hallo,

in deinen Regeln hat das lokale Routing aber keine Priorität. Alle Regeln haben Prio 0.

Gruß hyperjojo

[Raudi]

Ich hatte es auch schon mal mit Prio 1 versucht, aber gleiches Ergebnis, daher habe ich es wieder zurückgedreht... Teste es aber gerne noch mal.

Viele Grüße
Stefan

[Raudi]

Jetzt verstehe ich die Welt nicht mehr, nun klappt das! Ich hatte es doch eben schon mal versucht, hatte ich doch in der ersten Antwort geschrieben.

O.k. egal, warum auch immer, die Hauptsache ist, es funktioniert nun.

Vielen, vielen Dank für Deine Unterstützung!

Viele Grüße
Stefan