Policy Based Routing: Load-Balancer

[Bernie137]

Hallo zusammen,

aufgrund der Erkenntnis in einem anderen Beitrag, habe ich eine Frage zur Firewall Konfiguration.

Im Einsatz ist ein VPN Load-Balancer mit 3 Verbindungen, Routing Tags 21, 22 und 23. Ich möchte per Policy Based Routing den RDP Traffic (TCP 3389) auf Verbindung 3 legen, das funktioniert und soweit kein Problem. Die Regel sieht dann so aus:

Code: Alles auswählen

Priorität:   255
Aktion:      Übertragen, Markieren, weitere Regeln beachten
Routing Tag: 23
Quelle:      lokales Netz
Ziel:        10.10.0.0/24
Dienste:     TCP, Zielport 3389

Wie aber stelle ich es an, dass sämtlicher anderer Traffic auf Verbindung 1 und 2 verbleibt (Tag 21 und 22) und nicht auf Verbindung 3 landet? Geht das so?

Code: Alles auswählen

Priorität:   255
Aktion:      Übertragen, Markieren, weitere Regeln beachten
Routing Tag: 21
Quelle:      lokales Netz
Ziel:        10.10.0.0/24
Dienste:     Alle Dienste

und

Code: Alles auswählen

Priorität:   255
Aktion:      Übertragen, Markieren, weitere Regeln beachten
Routing Tag: 22
Quelle:      lokales Netz
Ziel:        10.10.0.0/24
Dienste:     Alle Dienste

Sind die drei Firewall Regeln dann widersprüchlich zueinander? Kann man bei Routing Tag auch mehrere Tags durch Komma getrennt angeben?

vg Bernie

[Dr.Einstein]

Hallo Bernie,

die Regeln würden sich beißen und dadurch eine unwirksam. Leg doch einfach einen 2. loadb an mit den zwei Verbindungen inkl eigenem Routing Tag und dann route darüber.

Gruß Dr.Einstein

[Bernie137]

Hallo Dr. Einstein,

die Regeln würden sich beißen und dadurch eine unwirksam.

Du meinst die beiden Regeln für den restlichen Traffic? Oder würde auch der RDP Traffic nicht mehr über Verbindung 3 laufen (weil nachfolgende Regel allen Traffic umfasst)?

Leg doch einfach einen 2. loadb an mit den zwei Verbindungen inkl eigenem Routing Tag und dann route darüber.

Wie meinst Du das? So...?

WAN1 - IPSec1 - PPTP1 - LB1 - LB2
WAN2 - IPSec2 - PPTP2 - LB1 - LB2
WAN3 - IPSec3 - PPTP3 -------- LB2

vg Bernie

[Dr.Einstein]

Hey Bernie,

die letzten beiden Regeln überschneiden sich, da quelle/ziel (port) identisch sind.

Wie du es unten gelistet hast, mein ich das. Du verpasst dann LB1 nur noch ein Routing Tag, damit du es über das Policy Based Routing ansteuern kannst

Gruß Dr.Einstein

[Bernie137]

Hey Dr. Einstein,

hab mir das heute mal angeschaut.

LOAD-Balancer.jpg

Es ginge nur so wie im Bild. Man kann es nicht verschachteln, d.h. im Load-Balancer Eintrag kann ich nicht nochmal eine Load-Balance Gegenstelle eintragen. Die Idee wäre jetzt, gar nicht zwei Load-Balance Gegenstellen zu kreiren, sondern es bei einer zu belassen und PPTP3 gar nicht mit in die Liste aufzunehmen, sondern nur per Firewall Tagging anzusteuern.

Ich müsste dann zwei Backup-Fälle unterschieden:

1. PPTP1+2 fällt weg, dann restlichen Traffic mit über PPTP3 (Tagging)
2. PPTP3 fällt aus, dann RDP auf den LB legen (Tagging aus)

So weit die Theorie. Oder fällt wem was besseres ein?

vg Bernie