Policy Based Routing - funktioniert fast...

[hannes.gnad]

Hallo Forum,

folgendes Szenario:
- 1781EF+ mit aktueller Release 9.10 Firmware
- Am WAN-Port (nicht am SPF-Port) ein Modem der Telekom, mit Glasfaser und flexibler IP
- An einem ETH-Port das LAN1 mit 192.168.78.0/24

Nun muß einer der Server in 192.168.78.0/24 mit fester IP ins Internet gehen, weil eine Gegenstelle dessen Zugriffe whitelisten muss. Die Telekom kann für den Glasfaser-Anschluß keine festen IPs liefern, also noch von UnityMedia ein Kabelanschluss Business dazu geholt, mit fünf festen IPs. Die festen IPs liegen an an einer Fritz!Box Cable 6490 mit aktueller Firmware und Bridge-Modus. Von einer deren LAN-Ports im Bridge-Modus also ein Kabel an einen ETH-Port des Lancoms gezogen, dort einen WAN-Port definiert samt "DSL-2", die MAC-Adresse ausgerechnet und ins UnityMedia-Portal eingetragen - darüber weist deren DHCP-Server die IP-Adressen zu, über die MAC-Adressen der Server bzw. "Endgeräte", "Besonderheit für Kunden in Baden-Württemberg". Dann noch eine Route ins IPv4-Routing eingetragen, und siehe da, im LANmonitor sieht man die zweite WAN-Verbindung mit der festen IP passend zur ausgerechneten MAC. So weit so gut...

https://www2.lancom.de/kb.nsf/1275/2A14 ... enDocument
http://www.kabelbwbusiness.de/anforderu ... he-ip.html

Nun kommt der Wunsch, daß der Server, der übrigens nicht von außen angesprochen werden können muß, sondern dessen Datenbank über eine feste IP ausgehend mit einem anderen Server Kontakt aufnehmen soll, aber im LAN1 steht, mit seinen HTTP- und HTTPS-Anfragen eben nicht den bisherigen Internet-Zugang, sondern den neuen benutzen soll. Nach einiger Suche bietet sich als Lösung dafür wohl "Policy Based Routing" an, also dies eingerichtet gemäß

https://www2.lancom.de/kb.nsf/0/5143d0d ... enDocument

Alles sieht richtig aus und scheint zu funktionieren - aber in dem Moment, in dem die Firewall-Regel für den Server aktiviert wird für die Dienste HTTP und HTTPS, da geht testhalber der Browser nicht über die neue Leitung raus (Routing-Tag 1, "Router KABEL" usw.), sondern es geht nichts mehr. Schaltet man die Regel aus geht das Surfen wieder, allerdings dann eben über den "Router TELEKOM" und damit die flexible IP.

Woran könnte es hängen? Oder ist schon der Ansatz nicht der richtige?

[hyperjojo]

Hallo,

poste doch mal Screenshots oder Teile der Konfig von Routing-Tabelle, IP-Netzwerke und den Firewall-Einstellungen...

Gruß hyperjojo

[hannes.gnad]

Gerne.

[hannes.gnad]

Gerne.

[hannes.gnad]

Ich habe noch ein bißchen mit der Firewall-Regel gespielt, die scheint zu funktionieren, auch mal alle Dienste darin aufgenommen - aber der "Router" stellt kein Paket nach außen über die KABEL-Leitung zu, traceroute sieht dann so aus:

server04:~ sadmin$ traceroute http://www.google.de
traceroute to http://www.google.de (216.58.209.131), 64 hops max, 52 byte packets
1 server.intern (192.168.78.1) 1.457 ms 0.844 ms 0.857 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *

[hyperjojo]

Hallo,

hast du der Unity-Gegenstelle mal Routing Tag 0 gegeben (die Telekom Gegenstelle mal testweise auf Routing Tag 3), um zu schauen, ob der Kabelanschluss denn überhaupt funktioniert?
Ansonsten sieht das PBR erstmal gut aus, wenn ich nix übersehen habe.

Gruß hyperjojo

[hannes.gnad]

Ah, das war ein feiner Tipp!

Hatten doch tatsächlich die Kollegen im Serverraum nebenan noch was extra an die Fritz!Box gehängt und in der Fritz!Box an den Bridging-Einstellungen gespielt, so daß es zwar den Anschein hatte, daß die Verbindung steht (weil IP-Adresse da am WAN-Port des Lancom-Routers), aber kein Päckchen lief. Nun alles gradgezogen, und das ganze funktioniert einwandfrei.

Ja, vielen Dank!

[ecox]

Ah, das war ein feiner Tipp!

Hatten doch tatsächlich die Kollegen im Serverraum nebenan noch was extra an die Fritz!Box gehängt und in der Fritz!Box an den Bridging-Einstellungen gespielt, so daß es zwar den Anschein hatte, daß die Verbindung steht (weil IP-Adresse da am WAN-Port des Lancom-Routers), aber kein Päckchen lief. Nun alles gradgezogen, und das ganze funktioniert einwandfrei.

Ja, vielen Dank!

Haha, ja diese böse IPOE Falle die kennt man ja, mit einem trace hättest du das aber ganz schnell selber raus bekommen

freu mich aber das es jetzt für dich funzt super forum halt