Firewall Regeln Mailverkehr über separate WAN-Verbindung
Moderator: Lancom-Systems Moderatoren
Firewall Regeln Mailverkehr über separate WAN-Verbindung
Hallo Leute,
ich verzweifle gerade an der Firewall.
Ich habe zwei getrennte WAN Verbindungen an einem 1781-4g. Nun möchte ich den kompletten Emailverkehr z.B. des Rechners A über die Wan-Verbindung B, HTTP aber über Wan-1 laufen lassen. Nur leider klappt das nicht, so wie ich mir das denke.
Als Firewallregeln habe ich Einiges versucht:
Als Routingtag Wan-B
Priorität 25
Aktion ACCEPT
Verbindungs-Quelle Rechner A
Verbindungs-Ziel beliebig
Protokoll/Quell-Dienste beliebig
Protokoll/Ziel-Dienste Mail und Secure-Mail
Als Routingtag Wan-A
Priorität 20
Aktion ACCEPT
Verbindungs-Quelle Rechner A
Verbindungs-Ziel beliebig
Protokoll/Quell-Dienste beliebig
Protokoll/Ziel-Dienste beliebig
Ob ich nun mit den Prioritäten spiele, den Mailversand über die Defaultroute verbiete, das Web-Protokoll separat eintrage, es klappt nicht. Entweder läuft alles über Wan-A bzw. Wan-B, oder es wird alles geblockt. Eine nach Protokollen getrennte WAN- Nutzung habe ich noch nicht hinbekommen.
Habe ich was vergessen, bzw. einen Denkfehler?
Danke!
Dani
ich verzweifle gerade an der Firewall.
Ich habe zwei getrennte WAN Verbindungen an einem 1781-4g. Nun möchte ich den kompletten Emailverkehr z.B. des Rechners A über die Wan-Verbindung B, HTTP aber über Wan-1 laufen lassen. Nur leider klappt das nicht, so wie ich mir das denke.
Als Firewallregeln habe ich Einiges versucht:
Als Routingtag Wan-B
Priorität 25
Aktion ACCEPT
Verbindungs-Quelle Rechner A
Verbindungs-Ziel beliebig
Protokoll/Quell-Dienste beliebig
Protokoll/Ziel-Dienste Mail und Secure-Mail
Als Routingtag Wan-A
Priorität 20
Aktion ACCEPT
Verbindungs-Quelle Rechner A
Verbindungs-Ziel beliebig
Protokoll/Quell-Dienste beliebig
Protokoll/Ziel-Dienste beliebig
Ob ich nun mit den Prioritäten spiele, den Mailversand über die Defaultroute verbiete, das Web-Protokoll separat eintrage, es klappt nicht. Entweder läuft alles über Wan-A bzw. Wan-B, oder es wird alles geblockt. Eine nach Protokollen getrennte WAN- Nutzung habe ich noch nicht hinbekommen.
Habe ich was vergessen, bzw. einen Denkfehler?
Danke!
Dani
Re: Firewall Regeln Mailverkehr über separate WAN-Verbindung
Von der Idee her würde ich den Mailverkehr umtaggen auf z.B. Routing Tag 1 und dafür dann eine zweite Defaultroute anlegen, die die mit 1 getaggten Pakete übernimmt.
Re: Firewall Regeln Mailverkehr über separate WAN-Verbindung
Hi
und danke für deine Antwort.
Genau so habe ich es gemacht. Eine zweite Route als WAN-B getaggt und in der Firewall akzeptiere ich dann alle Mailsever Ports auf diese Route und blocke diese Ports für die Defaultroute 0 mit einer niedrigeren Priorität.
Leider so wie oben beschrieben, ohne Erfolg.
Gruß
Dani
und danke für deine Antwort.
Genau so habe ich es gemacht. Eine zweite Route als WAN-B getaggt und in der Firewall akzeptiere ich dann alle Mailsever Ports auf diese Route und blocke diese Ports für die Defaultroute 0 mit einer niedrigeren Priorität.
Leider so wie oben beschrieben, ohne Erfolg.
Gruß
Dani
Re: Firewall Regeln Mailverkehr über separate WAN-Verbindung
Was meinst du mit "WAN-B getaggt"? Das Tag muss doch ein Integer sein, welchen Wert hast du im Feld Routing-Tag der Firewall Regel verwendet?
Und eine zweite Defaultroute mit entsprechendem Tag hast du eingerichtet?
Check doch auch mal, was passiert, wenn du nur die mit 1 getaggte Defaultroute aktiv hast. Werden dann tatsächlich nur alle mit 1 getaggten Pakete weitergereicht?
Schau auch mal hier ganz unten:
https://www2.lancom.de/kb.nsf/0/5143d0d ... enDocument
Irgendwo gabs auch einen Artikel, der noch besser auf dein Problem passte. Find den gerade nicht.
Und eine zweite Defaultroute mit entsprechendem Tag hast du eingerichtet?
Check doch auch mal, was passiert, wenn du nur die mit 1 getaggte Defaultroute aktiv hast. Werden dann tatsächlich nur alle mit 1 getaggten Pakete weitergereicht?
Schau auch mal hier ganz unten:
https://www2.lancom.de/kb.nsf/0/5143d0d ... enDocument
Irgendwo gabs auch einen Artikel, der noch besser auf dein Problem passte. Find den gerade nicht.
Re: Firewall Regeln Mailverkehr über separate WAN-Verbindung
Hi,
ja WAN-B hat bei mir Routingtag 5.
Ich kann den kompletten Verkehr einer IP in der Firewall über den Routingtag 5, also die andere WAN Verbindung senden. Nur, wie gesagt, leider nach Protokollen auf die einzelnen Defaultrouten aufteilen kann kann ich nicht.
Genau wie in dem verlinkten Dokument habe ich es versucht, bis auf den Unterschied, dass ich anstatt "Lokalnet" die lokale IP Adresse des Rechners eingetragen habe. Ich verstehe es nicht und bin fast am verzweifeln...
Gruß
Dani
ja WAN-B hat bei mir Routingtag 5.
Ich kann den kompletten Verkehr einer IP in der Firewall über den Routingtag 5, also die andere WAN Verbindung senden. Nur, wie gesagt, leider nach Protokollen auf die einzelnen Defaultrouten aufteilen kann kann ich nicht.
Genau wie in dem verlinkten Dokument habe ich es versucht, bis auf den Unterschied, dass ich anstatt "Lokalnet" die lokale IP Adresse des Rechners eingetragen habe. Ich verstehe es nicht und bin fast am verzweifeln...
Gruß
Dani
Re: Firewall Regeln Mailverkehr über separate WAN-Verbindung
Hab gerade mal etwas rumgespielt. Eine Defaultroute mit Tag 0 scheint immer zu greifen, auch für getaggte Pakete. Auch dann, wenn man eine explizite Defaultroute für z.B. Tag 5 anlegt. Folglich müsstest du es wohl so basteln, dass du überhaupt keine Defaultroute mit Tag 0 hast. Also den gesamten Netzwerkverkehr z.B. über Tag 1 laufen lassen und deine Mailsachen dann z.B. über deinen Tag 5. Am einfachsten dürfte das gehen, in dem du deinem Netzwerk (TCP > Allgemein > IP-Netzwerke) den Schnittstellen-Tag 1 verpasst. Deine Mailpakete markierst du dann wie bisher mit einer Firewall-Regel auf Tag 5.
Alles unter Vorbehalt, hab das nicht genauer getestet...
Alles unter Vorbehalt, hab das nicht genauer getestet...
Re: Firewall Regeln Mailverkehr über separate WAN-Verbindung
Was mir noch etwas unerwartet vorkommt: Wenn ich ein Netzwerk mit Tag 1 festlege und dann eine Defaultroute für Tag 1 definiere, flutschen da alle Pakete ins WAN drüber. Tagge ich nun z.B. die ICMP-Pakete mittels FW-Regel auf Routing-Tag 5 um und habe eine zusätzliche Defaultroute für Tag 5, laufen die auch über diese Defaultroute-5. Definiere ich diese Defaultroute-5 mit dem Ziel 0.0.0.0 (Pakete verwerfen) passiert - oh Wunder - es nicht, dass meine ICMP-Pakete ins Nirvana gehen, sondern die laufen dann über Defaultroute-1. Verrückt...
Oder sind Schnittstellen-Tag und Routing-Tag 2 parallel mitgeführte Paket-Markierungen und der Router sagt sich: Wenn der Routing-Tag zu keinem Ziel führt, nehm ich den Schnittstellen-Tag?
Oder sind Schnittstellen-Tag und Routing-Tag 2 parallel mitgeführte Paket-Markierungen und der Router sagt sich: Wenn der Routing-Tag zu keinem Ziel führt, nehm ich den Schnittstellen-Tag?
Re: Firewall Regeln Mailverkehr über separate WAN-Verbindung
Hi win,
ich glaub ich muß hier mal etwas Klarheit in die wirren Spekulationen bringen...
Wenn für deine Mail eine andere Regel gegriffen hat, dann mußt du mal für das erste Paket der Mail die von "show filter" ausgegebene Filterliste von "oben nach unten" durchgehen und manuell prüfen, werlche Regel als erste greift.
Über den Sinn der Sonderbehandlung der Sperr-Routen kann man sicherlich streiten, aber sie ist nunmal da...
Gruß
Backslash
ich glaub ich muß hier mal etwas Klarheit in die wirren Spekulationen bringen...
ja, aber nur, wenn es für das Paket keine getaggte Route gibt. In der Routing-Tabelle ist Tag 0 der Default. (Achtung bei den ARF-Netzen hat 0 eine andere Bedeutung - da ist 0 das Supervisor-Netz)Eine Defaultroute mit Tag 0 scheint immer zu greifen, auch für getaggte Pakete.
nein! Mit 5 getaggte Pakete laufen über die mit 5 getaggte RouteAuch dann, wenn man eine explizite Defaultroute für z.B. Tag 5 anlegt.
nein das ist nicht nötig. Dani99's Regeln aus dem ersten Post sind vollkommen in Ordnung und sollten so funktionieren. Hier stellt sich die Frage warum sie nicht greifen - am Wahrscheinlichsten ist ein Syntaxfehler beim Erstellen der Regeln. Das ließe sich mit einem "show filter" auf dem CLI prüfen. Wenn aus den Regeln die korrekten Fiter erstellt wurden, dann muß "im Betrieb" weiter gesucht werden. So zeigt z.B. ein IP-Router-Trace, welches Tag verwendet wurde (d.h. ob umgetaggt wurde) und wohin die Pakete gesendet werden. Unter /Status/IP-Router/Connection-List kann auf dem CLI nachgeschaut werden, für welche Session welche Regel gegriffen hat.Folglich müsstest du es wohl so basteln, dass du überhaupt keine Defaultroute mit Tag 0 hast.
Wenn für deine Mail eine andere Regel gegriffen hat, dann mußt du mal für das erste Paket der Mail die von "show filter" ausgegebene Filterliste von "oben nach unten" durchgehen und manuell prüfen, werlche Regel als erste greift.
ja so soll es seinWenn ich ein Netzwerk mit Tag 1 festlege und dann eine Defaultroute für Tag 1 definiere, flutschen da alle Pakete ins WAN drüber.
auch das ist so korrektTagge ich nun z.B. die ICMP-Pakete mittels FW-Regel auf Routing-Tag 5 um und habe eine zusätzliche Defaultroute für Tag 5, laufen die auch über diese Defaultroute-5.
das passiert aber nur, weil du mit der Regel versucht hast umzutaggen. Da diese Umtag-Regel das Paket in eine Sperr-Route laufen läßt, wertet die Firewall die Regel so, als hätte sie nicht gematcht und sucht die nächste Regel... Wenn du das Paket verwerfen willst, dann darfst du es nicht auf eine Sperr-Route lotsen, sondern muß als Aktion "zurückweisen" oder "verwerfen" in die Firewallregel setzen.Definiere ich diese Defaultroute-5 mit dem Ziel 0.0.0.0 (Pakete verwerfen) passiert - oh Wunder - es nicht, dass meine ICMP-Pakete ins Nirvana gehen, sondern die laufen dann über Defaultroute-1. Verrückt...
nein. Wenn es wirkilch keine Route zum Ziel mit dem Tag gibt, dann wird das Paket auch verworfen.Oder sind Schnittstellen-Tag und Routing-Tag 2 parallel mitgeführte Paket-Markierungen und der Router sagt sich: Wenn der Routing-Tag zu keinem Ziel führt, nehm ich den Schnittstellen-Tag?
Über den Sinn der Sonderbehandlung der Sperr-Routen kann man sicherlich streiten, aber sie ist nunmal da...
Gruß
Backslash
Re: Firewall Regeln Mailverkehr über separate WAN-Verbindung
Hallo,
vielen Dank für die Anstöße, es funktioniert jetzt.
Erst habe ich WIN's Idee aufgegriffen, alles von der Defaultroute abzugrenzen, diese hat nun schonmal funktioniert, danke! Dann bin ich auf die Suche gegangen und es zeigte sich, dass das Outlook eines FA-Laptops meine besseren Hälfte einen Account über Port 443 aktualisierte, und der war natürlich nicht umgeleitet. Nun geht es auch mit der Defaultroute.........
Schöne Pfingsten und Danke!
Dani
vielen Dank für die Anstöße, es funktioniert jetzt.
Erst habe ich WIN's Idee aufgegriffen, alles von der Defaultroute abzugrenzen, diese hat nun schonmal funktioniert, danke! Dann bin ich auf die Suche gegangen und es zeigte sich, dass das Outlook eines FA-Laptops meine besseren Hälfte einen Account über Port 443 aktualisierte, und der war natürlich nicht umgeleitet. Nun geht es auch mit der Defaultroute.........
Schöne Pfingsten und Danke!
Dani