WG-Multi-WAN

Netzwerk Video Software Leistungen Kontakt IT-Karriere

Watchguard Multi-WAN und Policy Based Routing

An einer WatchGuard Firewall können bis zu vier Schnittstellen als "External Interface" konfiguriert werden, wenn "Fireware Pro" lizenziert ist. Daran können Internet-Zugänge von verschiedenen Providern angeschlossen werden.

Haben Sie eine teure Standleitung mit wenig Bandbreite, die bisweilen stark belastet oder gar überlastet ist, weil viel HTTP/HTTPS-Traffic die Leitung benutzt und nur wenig Bandbreite für ERP, VPN, Datenbanken und andere unternehmenskritische Anwendungen übrig bleibt, kann ein asynchrones ADSL, VDSL oder ein Kabel-TV-Anschluss als zweiter Internet-Zugang an die WatchGuard angeschlossen werden. Über die Firewall-Regeln wird dann mit "Policy Based Routing" festgelegt, dass der ausgehende HTTP und HTTPS Verkehr über die zweite, kostengünstigere Leitung geführt wird.

Wenn ein zusätzlicher Port als "External Interface" konfiguriert wird, sind auch Einstellungen für die Führung des Verkehrs über die verschiedenen Schnittstellen vorzunehmen. Dazu wird im Policy Manager unter "Network" > "Configuration" die Registerkarte "Multi-WAN" geöffnet. Hier wählt man als Default-Verhalten anstelle des voreingestellten Verfahrens "Routing Table" das Verfahren "Failover" aus und aktiviert hinter dem Button "Configure" die am Multi-WAN beteiligten externen Interfaces hier (0)=eth0, (1)=eth1.

Die angezeigte Reihenfolge der Interfaces entspricht auch dem tatsächlichen Verhalten der WatchGuard Firebox für ausgehende Verbindungen. Sofern kein Regel-basiertes Routing ein anderes Verhalten vorschreibt, werden die Interfaces gemäß dieser Liste von oben nach unten abgearbeitet. Wenn das weiter oben aufgeführte Interface "active" ist, dann wird auch dieses benutzt, sonst wird das nächste aktive Interface in der Liste verwendet.

Die Erkennung, ob ein Interface "active" ist wird in der Watchguard ebenfalls über die Registerkarte "Multi-WAN" gesteuert.

Für jedes Multi-WAN-Interfaces wird definiert, wie die WatchGuard die Verbindung prüfen soll. Im Standard pingt die Watchguard alle 15 Sekunden das jeweilige Default Gateway. Wenn die angepingte IP-Adresse 60 Sekunden lang nicht antwortet, wird das Interface auf "inactive" gesetzt. Kommen drei aufeinanderfolgende Antworten zurück, wird das Interface wieder auf "active" gesetzt.

Da der Default Gateway einer Standleitung der Übergaberouter des Providers ist, der sich meist direkt vor der Watchguard befindet, lässt sich keine Aussage über die Funktion der Internet-Anbindung treffen. Bei einer PPPoE-Einwahl wird das Default Gateway vom Provider zugewiesen. Genau diese antwortet aber in vielen Fällen nicht auf einen Ping. In diesen Fällen sollten also hochverfügbare IP-Adressen im Internet als Ping-Ziel definiert werden.

Wird der selbe PPPoE Provider mehrmals auf verschiedenen Schnittstellen benutzt, kann es bei älterem Softwarestand zu Problemen mit dem doppelt definierten Default-Gateway des Providers, mit Leitungsabbrüchen und sporadischem Failover kommen. Bitte spielen Sie in diesem Fall mindestens das Fireware-Update 11.3.4 CSP6 ein. Eventuell kann hier die Watchguard auch hinter einem PPPoE-Router betrieben werden.

Bei einem Betrieb hinter einem PPPoE-Router oder einer Fritzbox wird das entsprechende externe Interface der Watchguard auf "DHCP Client" gestellt, die Fritzbox / PPPoE-Router normal mit DHCP Server betrieben und mit Port-Forwarding/ NAT wird der komplette Traffic auf die Watchguard durch geschoben. Den Rest regelt dann wieder die Watchguard.

Sie können eine Richtlinie mit einer bestimmten externen Schnittstelle für den ausgehenden Datenverkehrkonfigurieren, für den diese Regel passt. Diese Technik wird als Policy-based Routing bezeichnet. Policy-based Routing hat Vorrang vor anderen Multi-WAN-Einstellungen. Das Erscheinungsbild der Firewall-Policy Einstellungen verändert sich durch die Verwendung von "Multi-WAN". Über die jetzt sichtbaren erweiterten Einstellungen lässt sich das regelbasierende Routing-Verhalten im Multi-WAN-Umfeld festlegen. Man wählt für ausgehende HTTP und HTTPS Regeln das vom Standard-Multi-WAN abweichende externe Interface aus. Dadurch wird der ausgehende HTTP/HTTPS Traffic inklusive der Downloads über das zweite Interface geführt und somit die Standleitung von diesem Traffic entlastet. So kann diese Bandbreite für die unternehmenskritischeren Anwendungen genutzt werden.

Zur Konfiguration von Policy-based Routing mit Failover wählen Sie "Failover" aus.
Wenn Sie "Failover" nicht wählen und die Schnittstelle, für die Sie diese Regel setzen nicht aktiv ist, wird der Verkehr ausgesetzt, bis die Link-Überwachung feststellt, dass die Schnittstelle wieder verfügbar ist.
Klicken Sie auf "Configure", um Backup-Schnittstellen für diese Regel anzugeben. Wenn die primäre Schnittstelle, die Sie für diese Regel setzen nicht aktiv ist, wird der Verkehr auf die Schnittstelle gesendet, die Sie hier angeben.

Watchguard Firewall   Beschreibung
Watchguard Firebox T10
Watchguard Firebox T10-W
Watchguard Firebox T10-D

Watchguard Firebox T10

Die Watchguard Firebox T10 sichert remote Netzwerke, die bisher keine ausreichende Sicherheit hatten. Ideal für kleine Büros / Home Office und Filialen mit bis zu 15 Benutzer. Die Firebox T10-W unterstützt Wireless, die T10-D aDSL / vDSL.
Watchguard Firebox T30 T30-W
Watchguard Firebox T50 T50-W

Watchguard Firebox T30 25 Benutzer
Watchguard Firebox T50  40 Benutzer
Firebox T30-W / T50-W: WLAN 802.11 a/g/n/ac.
kleine Büros / Home Office / Einzelhandel
Watchguard Firebox M270

Watchguard Firebox M300

Watchguard Firebox M400

Watchguard Firebox M440

Watchguard Firebox M500

Watchguard Firebox M400 / M500

Watchguard Firebox M270   70 Benutzer  800 Mbps
Watchguard Firebox M300  150 Benutzer  800 Mbps
Watchguard Firebox M400  350 Benutzer 1,4 Gbps
Watchguard Firebox M500  750 Benutzer 1,7 Gbps
Watchguard Firebox M440  750 Benutzer 24+2 Ports
Watchguard Firebox M4600

Watchguard Firebox M5600

Watchguard Firebox M4600  3000 Benutzer
40Gbps FW / 9Gbps AV


Watchguard Firebox M5600  12000 Benutzer
60 Gbps FW / 12 Gbps AV

Watchguard AccessPoints
Watchguard AP100 WAP
Watchguard AP102 WAP
Watchguard AP200 WAP
Watchguard AP300 WAP

Unter WSM zentral administrierbare Watchguard WLAN Access Points mit hoher Firewall-Sicherheit.
Watchguard AP100 und Watchguard AP200. Wetterfester Watchguard AP102 für Outdoor. Watchguard AP300 mit 802.11ac
Watchguard XTMv
XTMv Small Office, Medium Office
XTMv Large Office, Datacenter

Watchguard XTMv Firwall als virtuelle Maschine

Watchguard XTMv virtuelle Firewall für VMware Hypervisor. Hohe Netzwerksicherheit und Schutz für Anwendungen und Daten.
Watchguard LiveSecurity

WatchGuard APT Blocker

WatchGuard Dimension

Watchguard LiveSecurity Service LSS Watchguard Live Security: Support und Software-Updates.
Watchguard APT Blocker: Abwehr für Advanced Persistent Threats
Watchguard Dimension: Kostenfreie Visualisierung und optionale Verwaltung über Dimension Command
Watchguard System Manager
WSM

Watchguard System Manager zentrale Verwaltung

Zentrale Verwaltung der WatchGuard Produkte. Die Konfiguration und VPN Struktur wird zentral und einfach verwaltet und verteilt. Das erspart Fehlersuche und Systempflege.
Watchguard Training, Schulung

Watchguard Support

Training, Schulung, Workshops, Consulting, Inbetriebnahme, Regeländerungen, Problembehebung, ganze einfach mit Gepanet GmbH.
Watchguard Promo
Trade-Up Programm

Trade-In Programm
Watchguard Promo Trade-Up RED instead Sie möchten ein größeres Modell? Oder einen anderen Hersteller ablösen und mit Watchguard Trade-In zur supergünstigen Firewall?

Gepanet GmbH >> Services >> Tipps und Tricks >> Watchguard Multi WAN

Gepanet GmbH ist Watchguard Gold Partner

 

GepaNet GmbH: Ihr IT-Systemhaus für Netzwerke, e-Security, Firewallsysteme

E-Mail: vertrieb@gepanet.com
Telefon: +49 8382 9479 825
Fax: +49 8382 9479 826
Anschrift: D-88142 Wasserburg, Wiesenstraße 12

Wir beliefern Unternehmer (BGB §14/1) und Behörden in ganz Europa. Wir liefern nicht an Verbraucher (BGB §13). Änderungen und Irrtümer vorbehalten. Modelle, Preise und Lieferfähigkeit können sich täglich ändern. Preise verstehen sich zuzüglich der Versand- und Frachtkosten sowie der gesetzlichen MwSt. Für alle Aufträge gelten ausschließlich unsere AGB. Zusatzinformationen, Datenblätter und AGB senden wir Ihnen gerne zu.
Netzwerk-Vor-Ort-Betreuung im Bodensee Gebiet, Süddeutschland, Baden-Württemberg, Bayern, Allgäu, Vorarlberg, Schwaben, Appenzell, Augsburg, Arbon, Bad Waldsee, Biberach, Bludenz, Bregenz, Dornbirn, Feldkirch, Friedrichshafen, Freiburg, Füssen, Götzis, Günzburg, Heidenheim, Hohenems, Illertissen, Immenstaad, Immenstadt, Isny, Kaufbeuren, Kempten, Kißlegg, Konstanz, Landsberg, Laupheim, Lauterach, Leutkirch, Lindau, Lustenau, Markdorf, Marktoberdorf, Mengen, Memmingen, Mindelheim, Oberstaufen, Oberstdorf, Pfronten, Pfullendorf, Rankweil, Ravensburg, Reutlingen, Romanshorn, Salem, Saulgau, Sigmaringen, Simmerberg, Sonthofen, St. Gallen, St. Margrethen, Tettnang, Tübingen, Tuttlingen, Überlingen, Ulm, Wangen und Weingarten.

AGB        Lieferung     Datenschutzerklärung     Impressum
Home Nach oben