{"id":2126,"date":"2011-08-03T13:40:00","date_gmt":"2011-08-03T11:40:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/multi-wan-und-policy-based-routing-2\/"},"modified":"2016-08-23T14:41:35","modified_gmt":"2016-08-23T12:41:35","slug":"multi-wan-und-policy-based-routing-2","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2011\/08\/multi-wan-und-policy-based-routing-2\/","title":{"rendered":"Multi-WAN und Policy Based Routing"},"content":{"rendered":"

Wenn auf einer WatchGuard die Zusatz-Option “Fireware Pro” bzw. “XTM Pro” aktiviert ist, k\u00f6nnen bis zu vier Interfaces als External Interface<\/span> konfiguriert werden. Hier k\u00f6nnen jeweils unterschiedliche Internet-Anschl\u00fcsse angebunden werden. Ein typisches Anwendungs-Szenario sieht so aus: Kunde x hat eine Standleitung mit x Mbit Bandbreite, die bisweilen \u00fcberlastet ist, weil “zu viel” HTTP\/HTTPS-Traffic (Eigennutzung, sprich Surfen und Downloads) die Leitung “dicht” macht und zu wenig Bandbreite f\u00fcr VPN-Anbindungen, E-Mail und andere unternehmenskritische Anwendungen \u00fcbrig bleibt…
Statt einfach die Bandbreite der Standleitung f\u00fcr teuer Geld beim Provider hochsetzen zu lassen, kann auch dar\u00fcber nachgedacht werden, einen – deutlich billigeren – ADSL, VDSL oder Kabel-TV-Anschluss als zweiten Internet-Anschluss<\/span> an die gleiche WatchGuard anzubinden und \u00fcber das Firewall-Regelwerk festzulegen, dass der typische HTTP und HTTPS Traffic \u00fcber eben diese billigere DSL-Leitung gef\u00fchrt wird (Policy Based Routing, PBR<\/span>). Damit wird die (teure) Standleitung<\/span> von eben diesem Traffic ENTLASTET<\/span>.<\/p>\n

Die unternehmenskritischen Services k\u00f6nnen so evtl. auch auf l\u00e4ngere Sicht auf dem bisherigen Stand zu deutlich geringeren laufenden Kosten versorgt werden.<\/p>\n

Wenn nun mindestens ein zweites Interface der WatchGuard als “External” konfiguriert wird, sind zus\u00e4tzliche Einstellungen erforderlich, ohne die das gew\u00fcnschte Verhalten eventuell nicht zum Tragen kommt! Insbesondere muss im Policy Manager unter Network > Configuration<\/span> die Registerkarte Multi-WAN<\/span> beachtet werden, die bei Verwendung nur eines einzelnen externen Interfaces “ausgegraut” war.
Hier w\u00e4hle ich in der Regel als Default-Verhalten im Multi-WAN-Betrieb anstelle des voreingestellten Verfahrens “Routing Table” das Verfahren “Failover<\/span>” aus und aktiviere hinter dem Button “Configure” die am typischen Multi-WAN-Betrieb beteiligten externen Interfaces (die Zahlen in Klammern entsprechen der Interface-Nummer auf der WatchGuard: z.B. 0=eth0, 6=eth6):<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5636603522607476690\"<\/a><\/p>\n

Die angezeigte Reihenfolge der Interfaces entspricht auch dem tats\u00e4chlichen Verhalten der WatchGuard Firebox f\u00fcr ausgehende Verbindungen: sofern keine PBR-Regel ein anderes Verhalten vorschreibt, werden die Interfaces gem\u00e4\u00df dieser Liste von oben nach unten bedient. Will hei\u00dfen: Wenn das ganz oben aufgef\u00fchrte Interface “ACTIVE” ist, dann wird auch genau dieses per Default bedient, ansonsten wird das n\u00e4chste Interface in der Liste verwendet…<\/p>\n

Wie erkennt nun die WatchGuard, ob ein Interface “ACTIVE” ist oder nicht? Auch dies wird \u00fcber die Registerkarte Multi-WAN gesteuert:<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5636603529467643714\"<\/a><\/p>\n

F\u00fcr jedes der am Multi-WAN Verhalten beteiligten Interfaces muss nun definiert werden, woran die WatchGuard die Verf\u00fcgbarkeit des Interfaces festmachen soll. Das Default-Verhalten ist in der roten Markierung und den darunter aufgef\u00fchrten Settings beschrieben. Demzufolge pingt die Firebox alle 15 Sekunden eine IP-Adresse an (standardm\u00e4\u00dfig das Default Gateway des jeweiligen Interfaces<\/span>). Wenn die angepingte IP-Adresse (3+1) = 4 x 15 => 60 Sekunden) nicht antwortet, wird das Interface auf “INACTIVE” gesetzt. Kommen wieder drei aufeinanderfolgende Antworten im Abstand von 15 Sekunden, wird das Interface wieder auf “ACTIVE” gesetzt und nimmt am Multi-WAN-Verfahren teil.<\/p>\n

Daraus ergeben sich zwei Problematiken:<\/p>\n