Policy Based Routing?

Wir möchten 2 DSL Anschlüsse gleichzeitig nutzen und den Traffic über den jeweiligen DSL Anschluss via Policy Based Routing steuern können.
Aber was ist Policy Based Routing? Und wie richtet man dies bei einer Watchguard Firewall ein?

Um mehrere externe Anschlüsse zu bündeln, ist es notwendig das die Watchguard Firewall das MultiWan Feature unterstützt.

Je nach Modell ist dieses Feature bereits aktiviert oder es muss nachlizensiert werden.

Mit der MultiWan Funktion kann man 2 DSL Anschlüsse gleichzeitig nutzen, jedoch aber noch nicht steuern welches Protokoll über welchen Anschluss laufen soll.

Das Ganze Funktioniert erst mit dem Policy Based Routing.

Hiermit wird gesteuert welcher externe Anschluss für die jeweilige Firewall Regel verwendet werden soll. Man könnte z.B. den Gesamten HTTP/HTTPs Traffic über den 2. DSL Anschluss getrennt von all den anderen Verbindungen laufen lassen.

Die Einrichtung von MultiWan und des Policy Based Routing ist in den folgenden Schritten erklärt.

Vorraussetzungen

  • 2 DSL Anschlüsse inkl. Zugangsdaten
  • Watchguard Firewall
  • ggf. MultiWan Feature Key!

MultiWAN und Failover Einrichten

Zuerst sollten beide DSL Anschlüsse an der Firewall an den Interfaces hinterlegt werden.
Hierzu im Policy Manager unter Network->Configuration 2 Interfaces als Extern Konfigurieren und die DSL Zugangsdaten eintragen

Policy Based Routing mit Watchguard XTM

Danach kann man im Register Multi-WAN das Failover der beiden Anschlüsse einstellen.

Watchguard Policy Based Routing 2

Hier wählt man den FAILOVER Modus und gibt zum Prüfen der Leitungsverfügbarkeit eine externe IP an, die von der Firewall angepingt wird. Vorzugsweise eine IP vom Backbone des Providers oder z.B. vom Google DNS Server.
Über Configure kann man noch das Standard Gateway (Gateway 0 / EXT1) ändern.

Der gesamte Traffic geht Standardmäßig immer über Gateway 0 (EXT1) und wechselt erst beim Ausfall auf das andere Interface!

Policy Based Routing

Damit wir steuern können welcher Traffic über welchen DSL Anschluss gehen soll, muss für die FW-Regeln die über den 2. DSL Anschluss gehen sollen (Gateway 1 / EXT2),
in der jeweiligen Regel das Interface hinterlegt werden.

Wachguard Policy Einstellung

Hierzu aktiviert man den Haken bei „Use policy based routing“ und stellt das Interface ein.
Ebenso setzt man noch den Haken bei „Failover“ damit hier beim Ausfall der Traffic wieder über den EXT1 Anschluss geht.

Kurz zusammengefasst heißt das, der gesamte Traffic geht bei MultiWan Einrichtung über EXT1, es sei denn man hat in einer Firewall-Regel unter Policy Based Routing das EXT2 Interface angegeben!