Beiträge von Bierrezept

Um vorerst nach Außen hin das Ganze zu testen würde ich das probieren.

Kannst ja sobald der Unterricht beginnt wieder unterbinden.

Viele Grüße

Okay.

D.h. das Routing funktioniert ? Aber die IDS blockt das Ganze?

Versuch sonst mal unter "Ausgehender Datenverkehr" eine Regel zu erstellen.
Die wie folgt das Ergebnis bringt.

Alle Grüne Schnittstellen dürfen unbeschränkt nach draußen über die rote Schnittstelle.

Ich könnte mir vorstellen, dass schränkt den Fehler vielleicht noch mehr ein.

Unter Source Nat bitte nichts einstellen, dass braucht man eigentlich nicht.

Hallo Sabine.

Sorry dass ich jetzt erst antworte ich war im Urlaub.
Was für Einstellungen hast denn vorgenommen um deine Postweiterleitung einzurichten?

Am Besten du erklärst ein Mal dein Szenario und erläuterst dann an deinen Einstellungen was Du vor hattest.
Ich denke der Fehler läßt sich schnell finden/beheben.

Viele Grüße

aber es geht alles wo wie du es wolltest?

viele grüße

Jo. Kann man auch machen und dann in der Firewall beschränken.
Das würde aber nur dann Sinn machen, wenn man sein Szenario so aussehen läßt.

Ich habe 2 rote Netze und eins davon ist ein Fallbacknetz.
Über das Fallbacknetz lass ich aber zusätzlich noch den Traffic von z.B. Port 80 laufen und das gebe ich per Firewall Richtlinie so frei.
Ansonsten würde ich gleich beim Routen den Dienst an die richtige Schnittstelle verweisen.

Viele Grüße

natürlich auf den Uplink.
Sonst könnte die Firewall sich nicht entscheiden und wüßte nicht wohin es geroutet werden würde.

Das könnte ein Dienst namens QoS aber das will irgendwie nicht laufen. Jedenfalls krieg ich das nicht hin.

Viele Grüße

ich habe die fw nun nicht vor mir, aber eigentlich ist es ganz einfach.

vielleicht kriegst es ja hin, wenn ich dir die gesamte konstelation rein theoretisch erkläre.

uplinks sind nur bedingt gleichzusetzen mit dem roten netz. ein uplink kann natürlich auch fürs blaue netz sein. man bewegt sich dort ein einen sehr schwammigen gebiet. für mich ist auch ein blaues netz ein rotes netz, weil es im endeffekt gleichzusetzen ist mit dem dem internet ( roten netz ). nehmen wir an, blau ist für ein wlan netz. so ist dieses auch ein fremdnetz und wäre rein planerisch als fremdes netz zu betrachten.
heutzutage weitet man die begrifflichkeiten aber etwas weiter aus.

jedoch bei deinem beispiel sind beide uplinks im roten netz.

so nun zu konfiguration:

deine ip addresse hast du ja bereits eingestellt und ich denke, du kannst sie von der endian firewall wenn du dich mit putty verbindest alle pingen?
wenn das nicht geht. dann liegt ein fehler in der konfiguration vor. (mit putty auf endian zugreifen ssh in dem übersicht bereich von der endian firewall freischalten. ist dort irgendein unterpunkt auf der linken seite)

soweit so gut.
nun erstellst du 2 Uplinks und gibst die daten dazu ein.
Der Punkt in Endian heißt Schnittstellen.
eth1 wird vermutlich der erste Uplink sein. Vermutlich mit der IP 192.168.0.100. Diesen gibst du dann am Besten den Namen des DSL Anbieter
eth2 wird der zweite sein mit der IP 192.168.1.1 Auch hier den Namen des DSL Anbieters nutzen, damit du die Schnittstellen auseinander halten kannst.
Ich lese gerade du hast 192.168.1.1 an den Router 192.168.0.1 gehängt? Vermutlich meintest du 192.168.1.254?
Es würde ja nicht funktionieren aus einem Netz mit der 192.168.1.1 auf das Netz 192.168.0.0 zuzugreifen.

So sollte dein Netz aussehen.

Grünes Netz 10.1.1.0 => z.B. 10.1.1.254 Endian Firewall als Gateway => eth1 von der Endian Firewall 192.168.0.100 => DSL Router 1 192.168.0.1
=> eth2 von der Endian Firewall 192.168.1.1 => DSL Router 2 192.168.1.254

so nun richtest du für beide Netze ein Gateway ein.
Bei mir war nur ein Gateway nötig, weil ich eine Wahlverbindnug über eine Netzwerkverbindung habe.
Daher gehst du auf Routing => dynamisches Routing
Dann trägst du ein:
Grün => Schnittstelle 1 (eth1) dort trägst du den Traffic den an, der dorthin geroutet werden soll. (Also die Protokoll Typen einhexeln / Ports )
Dann machst einen 2. Eintrag:
Grün => Schnittstelle 2 (eth2) dort trägst du den restlichen Traffic ein der dort drüber laufen soll. Bei dir wäre das wohl Port 80 TCP.

Zu guter letzt mußt du dann den Traffic als ausgehenden Traffic noch freigeben.
Dies leitet sich aus den Routing Einstellungen ab. Du mußt quasi das gleiche nur noch dort einstellen und dann steht dem Ganzen nichts mehr im Wege.

Sollte das immer noch nicht gehen würde ich meine Einstellungen nochmal für bebildern.
Oder du bebilderst deine dann kann ich dort fix eine Fehleranalyse machen.

@ Sabine ich nutze 2.4.1 seit heute Nach den Updates hatte ich dann noch 2-3 Abstürze aber irgendwann lief es dann.
Vorher hatte ich 2.4.0 und war auch zufrieden. Ich nutze die anderen Dienste nicht. Ich habe mir nur die Endian Firewall besorgt weil ich bei 2.3.0 etwas von Traffic Splitting gelesen habe und immernoch darauf warte. Weil es bisher keine Firewall im freien Bereich vernünftig umsetzt. Ich könnte nun den Kernel anpassen und dann per iptables das ganze im Bonding betreiben aber ich will eine bessere Lösung dafür. Sonst hätte ich Endian nicht installieren müssen

QOS im VPN Modus ist auch so eine Sache.
Das wird wohl auch nie gehen. Dann müßte schon der Provider für beide Zugänge spezielle Hardware zu Verfügung stellen.
Man hat nämlich das Problem, dass die meisten Zugänge, die ein mittelständisches Unternehmen / Privatmann zu hause hat, dynamische IP's erhalten. Selbst wenn sie statisch wären, wären sie immernoch unterschiedlich und dadurch macht es schwer dort eine vernünftiges QoS zum Laufen zu bringen. Weil wie sollte er die Session unterscheiden? Wann sollte er umrouten? Wie teilt er das einem Client mit? Tja gar nicht weil die Verbindung wegbrechen würde.

QOS im VPN Modus ist nur möglich, wenn 2 WAN Einheiten (CE Einheiten) über eine IP Addresse ansprechbar wären.
Dies muß vom Provider geschaltet werden und er müßte auch den QOS aktivieren.
So kann dann entschieden werden welche Verbindung gerade weniger ausgelastet ist um zum Ziel zu kommen.

Praktsich.

Es probieren sich gerade 2 Leute an einem Problem aus, was ich seit dem Umstieg auf Endian 2.4.0 habe.
Sabine bzgl. deiner Konstelletation und Erstellung der FW Richtlinie (siehe Abbildung auf Thread Seite Nr. 1 ) kann ich Dir schon mal sagen, dass das nicht geht.

Ich habe es mit folgenden Szenarion probiert.
Eth0 ist die Endian Firewall (192.168.0.1/24)
Eth1 wählt sich per ppoe ein
Eth2 hat eine statische IP Addresse und ist mit einem Router verbunden. (192.168.2.254/24)

Erstellt ich nach deiner Abbildung eine Rule dann bekomm ich vom 192.168.0.0/24 Netz keine Verbindung über den HTTP Dienst nach draußen.
Setze ich Eth1 auf nonactiv gehts.

Die Lösung zum Problem ist recht simpel.
Es muss natürlich eine Route her.
Dies geschieht über den Punkt.

Netzwerk => Routing => Richtlinienbasiertes Routing
Einzustellen wäre dann Quelle Grün und das geht zum roten Uplink Port als Ziel.
(Außerdem sollte man nicht aufhören von Rot und Grün zu sprechen. Uplinks schimpft sich das in Endian, aber dennoch wäre rot richtiger. Somit haben wir eine Einheitssprache die leider bei vielen Softwaredistributionen immer wieder über den Haufen geworfen wird. Siehe Iphealper bei Cisco, bei HP heißt es wieder anders)

Dann nur noch den bestimmten Dienst eingeben und aktivieren das ganze. Wäre indem Fall Port 80 TCP.
Nun kommt es nur noch darauf an wie man die Firewall konfiguriert hat.

Ich hatte das Problem, dass ich den gesamten Traffic für mein Netz nach ausgehend freigeben mußte. Besser wäre das nicht zu machen!
Daher muss derjenige dort noch den Port freischalten.

Daher wieder Quelle Grün; Ziel roter Uplink ; Port 80 TCP

So wäre das Problem aufjedenfall gelöst. Ich hoffe ich konnte helfen.

Mein Problem ist dadurch noch nicht gelöst
Kennt sich wer mit QOS aus? Bei mir läuft es einfach nicht.
Wie oben beschrieben sieht mein Netzwerk aus.
Jedoch würde ich gerne Protokoll unabhängig aggieren.
In manchen Windows Applaction ganz einfach zu realisieren. Diese erzeugen ein VPN Netz für beide Schnittstellen und dann wird der Traffic darüber gespeist aber wie funktioniert das bei Endian? Immerhin wirbt die Community damit und ab und an habe ich schon gelesen das es funktioniert.

Ich möchte bewirken wenn USER A viel Traffic verursacht das USER B dann umgeroutet wird auf das andere Interface.
Ich will auch niemanden beschränken ich will quasi Channel Bonding betreiben ohne große Gerätschaften? Ist das Möglich?

Ach und vielleicht mag mal irgendwer erklären worin der Unterschied zwischen Channel Bonding, Traffic Balancing und Traffic Shaping liegt?
Wenn ich bei google suche, dann fällt mir auf man möchte mit allen 3 Begriffen das gleiche Ziel erreichen, aber jeder nennt es anders und oftmals wird auch wieder drüber gestritten was der richtige Begriff ist.

Viele Grüße

Bierrezept