Jump to content
Sign in to follow this  
colognia

praktisches routingproblem für fortgeschrittene

Recommended Posts

hallöle!

 

ich hab die (un)dankbare aufgabe, das routing unseres ladens zu ändern und bin dezent überfordert.

 

wir haben aus unserem hauptsitz 4 vpn-verbindungen zu filalen ins ausland. die firewall, die die vpn-verbindungen hält, ist im hauptsitz als default gateway im dhcp eingetragen. so können die user auf resourcen in anderen filalen zugreifen.

 

fürs surfen gibt es eine 2te, kleinere leitung. damit die anfragen nicht auch übers default gateway über die vpn-leitung gehen, haben wir eine proxy.pac im einsatz; also eine datei, die man im IE spezifizieren kann wo ein proxy drinsteht. dieser proxy ist firewall 2 und hält die 2te leitung, die nur dem surfen dient.

 

GF möchte nun die lösung über proxy.pac nicht mehr, es soll ohne gehen, das wär zu umständlich. in allen filialen ist die proxypac die gleiche, es gibt darin 5 einträge zu allen 5 filialen, sodaß auch reisende user in jeder filiale den passenden proxy zugeweisen bekommen zum surfen.

 

zu allen überfluß ist jetzt noch eine dritte leitung bestellt worden, über die nur der mailverkehr vom exchange laufen soll. bisher läuft der auf der surf-leitung (2te) und soll künftig separiert werden. ich hätte dann also noch eine dritte firewall für die 3te leitung.

 

kann man so etwas ohne prox.pac lösen?

irgendein daufault gateway muß es ja geben und den rest dann mit statischen routen erschlagen? zb als default geteway künftig die surfleitung 2 nehmen, alle vpn-zielnetze (haben alle eine private class-A kennung 10.1.x.x, 10.2.x.x etc) als statische routen festlegen (kann man das im dhcp einstellen, damit die clients das mitkriegen? bin mir nicht sicher). und dem exchange dann sagen, daß er immer leitung 3 nehmen soll zum senden/empfangen? wie sag ich ihm das?

 

die firewalls laufen alle mit ip-cop, das ist eine freie linuxlösung, darf ja alles nix kosten...

hab keinen zugriff auf die firewalls, soll aber trotzdem eine neue strategie entwerfen, chef hat da keine lust zu....

 

danke für jeden tipp!

 

tzöööö!

Share this post


Link to post
Share on other sites
hab keinen zugriff auf die firewalls,

Das ist schlecht, dann delegiere die Einrichtung, denn die einfachste Lösung wäre es, der FW, die jetzt das Standardgateway ist, die Routen in die anderen Netze eintragen, und die FW 2 als Defaultgateway einzutragen.

Die Clients würden per Standort-GPO den Proxy für den jeweiligen Standort zugewiesen bekommen. Voraussetzung wäre aber eine perfekte Pflege aller Subnetze im Active Directory Standorte und Dienste.

 

Alternativ könnte man auch die FW2 als DG eintragen und der die Routen in die anderen Netze über die FW1 eintragen. Proxyverteilung per Standort GPO würde bleiben, bzw. wäre in diesem 2. Fall nicht nötig, außer der Proxy hätte einen speziellen Port (nicht 80) und müsste verwendet werden.

 

Wenn die Clients alle XP sind, kann man auch Routen per DHCP mitgeben, das würde einiges vereinfachen, aber mit 2000 geht das nicht.

 

Exchange, das ginge schon, das man dem eine spezielle Route einträgt, ist auch administrierbar, weil das ja nicht viele sind, und die Teile ja auch nicht wandern :) .

Wären in dem Fall wohl Hostrouten, weil sonst geht das doch wieder über FW1.

 

 

grizzly999

Share this post


Link to post
Share on other sites

Vielleicht wäre es auch eine Option den Traffic nach Sorten zu trennen.

Also IPSec über WAN1, WWW FTP ect. WAN2 und SMTP/POP WAN3.

Dazu würdest du allerdings einen besseren Router benötigen. IPCop kann

das nicht leisten, da maximal ein "rotes" Interface unterstützt.

 

subby

Share this post


Link to post
Share on other sites

danke für die schnelle hilfe!

 

tatsächlich wär wohl am saubersten, die wege nach trafficart zu trennen. daß das der ipcop nicht kann wußt ich zb nicht, dann scheidet das aus.

 

die beiden FW hängen zur zeit wie alle anderen clientleitungen am selben switch, also kein router dazwischen, der den ankommenen verkehr auf FW1 oder FW2 verteilt.

 

wenn ich mir die lösung von grizzly999 angucke, kann das so funktionieren?

zb der erste weg:

FW1 (vpn) bleibt standardgateway für die clients. dort kommt erstmal alles an, auch anfragen ans internet. kann man dem ipcop mitteilen, daß er für traffic in die anderen filialen entsprechende vpn-verbindungen mit entsprechenden ips benutzen soll (das hat er ja bisher gemacht) und wenn er aber das zielnetz nicht kennt, wiederum alles an sein eigenes standardgateway FW2 (zum surfen) weiteleiten soll?

war das so gemeint?

 

das heißt traffic fürs internet geht erst rein in FW1, wird weitergeschickt an FW2 und landet dann im internet? funktioniert das tatsächlich? auch der rückweg? auf dem rückweg kommt ja die antwort vom internet an auf FW2, die schickt die antwort zurück an FW1 (weil die ja gefragt hat) und die schickt es dann an den richtigen client zurück?

 

oder fragt der client dann ganz selbständig bei FW2 (internet) an? kann eigendlich nicht sein, weil ja FW1 (vpn) an ihr default gateway FW2 (internet) weitersendet, ohne daß der client das merkt.

 

die einrichtung der FW kann ich auf chef abschieben. wenn ihr sagt das geht so (client wedet sich an FW1 (vpn), die schickt weiter an FW2 und die info kommt trotzdem wieder beim client an), dann würd ich das so vorschlagen. weis halt nicht was der ipcop so auf die reihe kriegt *ächz*.

 

den chef tausch ich dieses jahr eh noch aus, aber ein paar monate muß ich irgendwie noch klarkommen...

:)

 

würd mich über weiter hilfe sehr freuen.

 

tzöööö!

Share this post


Link to post
Share on other sites
wenn ich mir die lösung von grizzly999 angucke, kann das so funktionieren?

zb der erste weg:

FW1 (vpn) bleibt standardgateway für die clients. dort kommt erstmal alles an, auch anfragen ans internet. kann man dem ipcop mitteilen, daß er für traffic in die anderen filialen entsprechende vpn-verbindungen mit entsprechenden ips benutzen soll (das hat er ja bisher gemacht) und wenn er aber das zielnetz nicht kennt, wiederum alles an sein eigenes standardgateway FW2 (zum surfen) weiteleiten soll?

war das so gemeint?

Im Prinzip ja, war das so gemeint. Ich kenne die IPCop nicht, aber ein voll RFC-compliant Router müsste dem Client in diesem Fall ein ICMP-Redirect Paket schicken, und ihm darin mitteilen, dass es eine bessere Route für den Client gibt, nämlich direkt über FW2. Der Client (Windows als Client kann das auf jeden Fall) passt dann selbständig seine Standardroute an, und versendet ins Internet direkt über FW2. Wenn der IPCop das nicht kann mit dem ICMP-Redirect 8würde mich aber wundern) , dann geht es eben über Client->FW1->FW2 ins Internt und so auch wieder zurück zum Client. Die pakete sind dann halt alle 2x im Netz

 

 

den chef tausch ich dieses jahr eh noch aus,

Best idea .... :D :D

 

 

grizzly999

Share this post


Link to post
Share on other sites

ach so geht das! wenn aber nun der client seine standardroute ändert, weil ihm die FW1(vpn) ein anderes gateway fürs internet mitgeteilt hat nämlich FW2, schickt er dann nicht künftig stumpf alles an FW2? weil du sagtest, daß der client dann sein default gateway ändert. oder gilt das nur für diese einzelne anfrage?

 

wenn der ipcop nun nicht rfc-kompatibel ist, muß man ihn dann als proxy umkonfigurieren, damit er für den client bei FW2(internet) anfragt und auch die antwort wieder an den client zurückgibt? wenn er nur normal routet, würde er das antwortpaket von FW2 ja nicht mehr an den client zurückgeben, oder doch? dafür müßte er sich ja listen merken, welcher client welche webseite von ihm wollte.

 

mache im september auf eigene faust die ersten beiden ciscokurse, dann bekomm ich da mal fundiertes grundwissen und kann den trainer 1000 löcher in den bauch fragen. :D

bei den MS-prüfungen wird ja nicht grad viel routing gelehrt/verlangt.

 

bin gespannt auf weitere erleuchtung!

tzööö!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...