Policy based routing bei Störung auf der Defaultroute

Transcendence · Beitrag von **Transcendence** » 07 Feb 2009, 15:49

Hi,

ich komme da an einem Punkt irgendwie nicht weiter, habt Ihr vielleicht eine Idee?

Folgende Situation:

Über seinen A-DSL-Anschluss ist ein 1722 mit T-DSL verbunden. NAT wird verwendet. Im Gerät sind zwei Zugangsprovider eingetragen: Einer für eine statisch zugeteilte IP-Adresse (P-STAT) sowie T-Online für eine dynamisch vergebene (P-DYN).

Per policy based routing sind Mailserver usw. aus der DMZ dem Provider P-STAT zugeordnet, das ist außerdem die Defaultroute (Routing-Tag 0). Die Arbeitsplatzrechner im INTRANET sowie Gäste im GASTNETZ gehen dagegen als Ausnahme über P-DYN ins Internet (Routing-Tag 1). So weit, so gut und praktisch und funktioniert auch.

Gestern ist nun eine schwere Störung bei P-STAT aufgetreten, so dass dieser Zugang über mehrere Stunden nicht zur Verfügung stand. Das hatte wiederum zur Folge, dass auch P-DYN nicht funktionierte, obwohl die ADSL-Leitung und P-DYN bereitstanden. Versuche haben ergeben, dass die Arbeitsplatzrechner, die ja P-DYN nutzen sollen, dies nicht konnten, weil der Router keinen Zugang mehr zum DNS hatte. Nach einem Aus- und Einschalten des Routers konnte dieser außerdem seine Zeit nicht mehr einstellen, so dass ich vermute, dass der Router in der gegenwärtigen Einstellung alle für ihn wichtigen Daten ausschließlich über die Defaultroute holt (was ja im Normalfall auch sinnvoll ist).

Wie bekomme ich es nun hin, dass er in so einem Fall auch die Alternative P-DYN mit ihren Nameservern berücksischtigt, damit zumindest der Internet-Zugang von den Arbeitsrechnern aus genutzt werden kann?
Die Dienste der eigenen IN-Server sollen dabei nicht über P-DYN angeboten werden (der Mailserver soll ja z.B. Mails nicht über P-DYN von einer dynamisch zugewiesenen IP-Adresse aus verschicken können). Es soll lediglich ein Internet-Zugriff von den Arbeits- und Gastrechnern aus möglich sein.

Backup-Verbindung einrichten und Firewall-Regeln für die IN-Server? Wie würde das mit den Routing-Tags zusammenpassen, wenn die Defaultroute auf diese Weise vorübergehend nach P-DYN verbogen wird? Werden die Zuordnungen der inversen Maskierung zur Weiterleitung an die DMZ-Server mitverbogen? Oder reichen diese zur Einschränkung wömoglich aus?

Diese Informationen finde ich leider nicht in der Doku. Kann mir jemand auf die Sprünge helfen?

Danke und Grüße
T.

backslash · Beitrag von **backslash** » 08 Feb 2009, 16:53

Hi Transcendence

Backup-Verbindung einrichten und Firewall-Regeln für die IN-Server?

nein. Denn wenn du das als Backup einrichtest, dann hast du nur einen ständigen wechselweisen Aufbau und Abbau der beiden Verbindungen: Wenn die "Backup"-Verbindung hochkommt, dann wird die "Haupt"-Verbindung abgebaut. Sobald diese wieder hochkommt, wird die Backup-Verbindung abgebaut. Da diese aber genutzt wird, wird sie auch sofort wieder aufgebaut, was wiederum zum Abbau der Hauptverbindung führt und so fort...

Das einzige, was du machen kannst, ist in der Aktionstabelle beim Abbau einer der Verbindungen die Routing-Tags in den jeweiligen Firewallregeln umzuschalten - und natürlich beim Wiederaufbau zurückzuschalten.

Werden die Zuordnungen der inversen Maskierung zur Weiterleitung an die DMZ-Server mitverbogen? Oder reichen diese zur Einschränkung wömoglich aus?

Das hängt davon ab, ob du die Einträge an eine Gegenstelle gehängt hast oder nicht. Sind sie einer Geregstelle zugeordnet, dann gelten sie nur solange, wie die Verbindung zu dieser Gegenstelle aufgebaut ist. Sind sie keiner Gegenstelle zugeordnet, dann gelten sie auch auf allen Gegenstellen

Gruß
Backslash

Transcendence · Beitrag von **Transcendence** » 10 Feb 2009, 14:03

Hi backslash,

backslash hat geschrieben:
Backup-Verbindung einrichten und Firewall-Regeln für die IN-Server?
nein. Denn wenn du das als Backup einrichtest, dann hast du nur einen ständigen wechselweisen Aufbau und Abbau der beiden Verbindungen: Wenn die "Backup"-Verbindung hochkommt, dann wird die "Haupt"-Verbindung abgebaut. Sobald diese wieder hochkommt, wird die Backup-Verbindung abgebaut. Da diese aber genutzt wird, wird sie auch sofort wieder aufgebaut, was wiederum zum Abbau der Hauptverbindung führt und so fort...

...irgend so etwas in der Richtung hatte ich schon befürchtet.

backslash hat geschrieben:Das einzige, was du machen kannst, ist in der Aktionstabelle beim Abbau einer der Verbindungen die Routing-Tags in den jeweiligen Firewallregeln umzuschalten - und natürlich beim Wiederaufbau zurückzuschalten.

Klasse, danke für den Tipp!

backslash hat geschrieben:
Werden die Zuordnungen der inversen Maskierung zur Weiterleitung an die DMZ-Server mitverbogen? Oder reichen diese zur Einschränkung wömoglich aus?
Das hängt davon ab, ob du die Einträge an eine Gegenstelle gehängt hast oder nicht. Sind sie einer Geregstelle zugeordnet, dann gelten sie nur solange, wie die Verbindung zu dieser Gegenstelle aufgebaut ist. Sind sie keiner Gegenstelle zugeordnet, dann gelten sie auch auf allen Gegenstellen

Die sind zugeordnet.

Danke Dir, nun funktioniert es!

Grüße
T.

Michael76 · Beitrag von **Michael76** » 09 Apr 2009, 14:33

Hallo,

eine frage bitte noch zu diesem thema:

backslash hat geschrieben: Das einzige, was du machen kannst, ist in der Aktionstabelle beim Abbau einer der Verbindungen die Routing-Tags in den jeweiligen Firewallregeln umzuschalten - und natürlich beim Wiederaufbau zurückzuschalten.

so eine konfiguration würde mich auch interessieren!
welche befehle sind hierfür in der aktions-tabelle nötig bzw. wo kann ich dies nachlesen ?

danke und gruß,
Michael

backslash · Beitrag von **backslash** » 09 Apr 2009, 17:20

Hi Michael76

du gibtst einfach das gleiche ein, was du auch im Telnet eingeben würdest:

set /setup/ip-router/firewall/rules/REGELNAME {rtg-tag} X

oder sprachunabhängig:

set /2/8/10/2/REGELNAME {rtg-tag} X

Gruß
Backslash

Michael76 · Beitrag von **Michael76** » 09 Apr 2009, 17:47

Hallo backslash,

super! vielen dank für deine aw!

schöne feiertage!

Michael