Multi-WAN-Umgebungen kommen mit ganz eigenen Herausforderungen daher, wie zum Beispiel welcher Traffic wo lang darf. Kommt zusätzlich noch Rule Routing zum Einsatz kann man ungewollte Überraschungen erleben.
So geschehen bei einem Kunden der zwei WAN-Anschlüsse (1x VDSL, 1x Glasfaser) zusammen mit Securepoint UTMs nutzt und bis vor kurzem kein Rule Routing im Einsatz war. Aus Gründen musste dieses allerdings aktiviert werden, was soweit erstmal kein Thema sein sollte. Leider zeigte sich dann ein ungewolltes Problem bei einem Site-to-Site-VPN auf WireGuard-Basis. Partiell konnte von der Außenstelle diverse Ziele in der Zentralle nicht erreicht werden, umgekehrt ging wiederum gar nichts mehr.
Nachdem die Routen und Firewall-Regeln kontrolliert sowie ein Neustart der UTMs auf beiden Seiten erfolglos blieben, wurde mit tcpdump geschaut, wo der Traffic denn langläuft. Hier zeigte sich auf der UTM mit der Multi-WAN-Konfiguration, also der Zentrale, das entgegen der ursprünglichen “Rule Routing-freien Konfiguration” der Traffic zum Netz der Außenstelle nicht in das WireGuard-Interface, sondern über das des Glasfaser-Anschlusses ging.
Die Lösung, wenn man sie kennt oder wie hier erarbeitet hat, ist einfach:
- In den Paketfilter-Regeln des Site-to-Site-VPNs (Für beide Richtungen!) unter “EXTRAS – Rule Routing” das entsprechende Interface (hier “wg1”) konfigurieren:
- Ferner diese Regeln bzw. die Regel-Gruppe ganz oben in der Reihenfolgte (Stichwort: First Matching Rule) platzieren.
Wie hat Dir der Artikel gefallen ?
(2 Stimmen, durchschnittlich 5,00 von 5 Sternen)
Loading...
Du möchtest den Blog unterstützen ?
Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.
Quellen
Securepoint UTM – Wiki – Rulerouting
Securepoint UTM – Wiki – Multipathrouting
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Hat jemand eine Lösung für das Problem mit dem HTTP-Proxy und dem Webfilter gefunden, wenn z. B. Netzwerk A über WAN A und Netzwerk B über WAN B gehen soll
Ich fürchte das wird nicht möglich sein, da der Proxy entweder die Standard-Route verwendet oder je nach Konfiguration an ein bestimmtes Interface/Route gebunden ist.
Man kann für den Proxy nicht angeben, das unterschiedliche Netze unterschiedliche WANs nutzen sollen.
Ohne Proxy geht das (natürlich), denn dann ist es lediglich Routing/Firewalling/NATing.
Das Ganze ist kein reines Securepoint UTM-Thema, bei manch anderen UTMs bzw. Proxies ist das mitunter ebenfalls so.
Kleiner Zusatz.
WireGuard nimmt nach meinen letzten Informationen immer nur den ersten WAN-Port! Securepoint bzw. die Entwickler von WireGuard sind da noch nicht so weit. 😉
Hallo Matze,
das ist bekannt:
Securepoint UTM: WireGuard und Multi-WAN
Bei Securepoint wird das wohl doch dauern. Wer selbst mit WireGuard unter Linux basteln möchte, kann das Thema meines Wissens nach mit mehreren Routing-Tablen lösen.