Portforwarding und Administrative Distanzen - Webserver hinter Backup-WAN

[xeno]

Moin zusammen,

ich habe seit dem Update auf 10.7X meines 1793VA Probleme Systeme von extern über das "Backup-WAN" zu erreichen.

Kurz zum Aufbau:
WAN 1 - Modem mit Deutsche Glasfaser 400/200 (Default Route mit Administrativen Distanz 1)
WAN 2 - Fritzbox mit Telekom VDSL100 - Exposed Host an den Lancom (Default Route mit Administrativen Distanz 2)

Die Idee und was auch bis zum Update von 10.5x zu 10.7x mit Administrativen Distanzen funktionierte:
Alles läuft über WAN1 - fällt WAN1 aus, geht alles über WAN2.
Portforwardings über die externe IPv4 Adresse von WAN2 werden ordentlich verarbeitet und die Systeme können von extern erreicht werden. Auch wenn WAN1 aktiv war.

Seit dem Update ist im Trace nun zusehen, dass er die Antwort auf die Anfrage an die Systeme über WAN2 blockiert: Filter (dropped packet from backup route)
Laut Lancom- Support war das was ich mit der 10.5x genutzt habe ein "bug-not-a-feature". Hier kamen dann auch keine guten Ideen/Vorschläge, wie ich meine Anforderungen umsetzen kann.

Ist meine Anforderung mit den Administrativen Distanzen wohl umsetzbar? Gibt es andere Möglichkeiten?

Vorab vielen Dank für Vorschläge und Ideen.

Gruß
Chris

[Dr.Einstein]

Wie, das geht nicht mehr? Dabei wurde mir sowas erst vom Support vorgeschlagen. Hab das Gefühl, der Support und die Entwicklung reden immer seltener miteinerander.

Funktioniert dann noch die alte Lösung, 2 verschiedene WAN Routingtags + Firewallregel + Aktionstabelle für das Ändern des Routing Tags in der Firewallregel?

[xeno]

Funktioniert dann noch die alte Lösung, 2 verschiedene WAN Routingtags + Firewallregel + Aktionstabelle für das Ändern des Routing Tags in der Firewallregel?

Die Lösung kenne ich leider nicht. Gab es da mal einen KB-Eintrag zu?
Mir wurden damalig auch die Administrativen Distanzen als Lösung für die Anforderung aufgezeigt.

Ich hatte es auch über diverse Regeln und Routing-Einträgen probiert. Z.B. mit WAN1 (VDSLer) als einzige Default-Route und über die Markieren-Funktion in der Firewall für den restlichen Datenverkehr, mit Administrativer Distanzen über einen anderen Tag. Alles leider ohne Erfolg.

[Dr.Einstein]

fragen-zum-thema-firewall-f15/firewall- ... 12930.html

[backslash]

Hi Dr.Einstein,

Wie, das geht nicht mehr? Dabei wurde mir sowas erst vom Support vorgeschlagen. Hab das Gefühl, der Support und die Entwicklung reden immer seltener miteinerander.

das ist hier kein normales Backup-Szenario. xeno will will hier die "Backupleitung" nutzen, um Dienste von Aussen anbienten zu können. Das ging auch in der 10.50 nicht problemlos - sondern nur, wenn man das IDS stummgeschaltet hatte.

Jetzt wird das IDS "intern" ruhiggstellt und alle Pakete verworfen, die über die Backuproute reinkommen, solange sie nicht aktiv ist...
Wenn xeno das Szenario weiter nutzen will, muß er nun ein paar kleine Klimmzüge machen:

• der Backupleitung ein Routing-Tag verpassen (unter Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle)
• eine Defaultroute mit dem Tag anlegen, die auf die Backupleitung zeigt
• eine Firewallregel für den einkommenden Traffic anlegen, die den Traffic auf das Tag des LANs umsetzt. Wenn das LAN das Tag 0 hat, muß in der Regel das Tag 65535 verwendet werden.

Gruß
Backslash

[Dr.Einstein]

das ist hier kein normales Backup-Szenario. xeno will will hier die "Backupleitung" nutzen, um Dienste von Aussen anbienten zu können. Das ging auch in der 10.50 nicht problemlos - sondern nur, wenn man das IDS stummgeschaltet hatte.

Ist mir bewusst. Mit 10.50 ging das direkt durch und wurde uns vom Support empfohlen als Lösung statt Firewallregeln / Aktionstabelle.

[backslash]

Hi Dr.Einstein ,

Mit 10.50 ging das direkt durch und wurde uns vom Support empfohlen als Lösung statt Firewallregeln / Aktionstabelle.

in der 10.50 hat das aber ohne IDS gemecker auch nur funktioniert, wenn man entweder das IDS komplett abgeshaltet hat oder eben das umgesetzt hat, was ich als "Klimmzüge" für xeno beschrieben habe. Der Unterschied zwischen 10.7x und 10.50 ist, daß man nun die "Klimmzüge" machen muß - sprich: ein Abschalten des IDS führt nicht mehr weiter.

Gruß
Backslash