Multi-WAN-Umgebungen kommen mit ganz eigenen Herausforderungen daher, wie zum Beispiel welcher Traffic wo lang darf. Kommt zusätzlich noch Rule Routing zum Einsatz kann man ungewollte Überraschungen erleben.
So geschehen bei einem Kunden der zwei WAN-Anschlüsse (1x VDSL, 1x Glasfaser) zusammen mit Securepoint UTMs nutzt und bis vor kurzem kein Rule Routing im Einsatz war. Aus Gründen musste dieses allerdings aktiviert werden, was soweit erstmal kein Thema sein sollte. Leider zeigte sich dann ein ungewolltes Problem bei einem Site-to-Site-VPN auf WireGuard-Basis. Partiell konnte von der Außenstelle diverse Ziele in der Zentralle nicht erreicht werden, umgekehrt ging wiederum gar nichts mehr.
Nachdem die Routen und Firewall-Regeln kontrolliert sowie ein Neustart der UTMs auf beiden Seiten erfolglos blieben, wurde mit tcpdump geschaut, wo der Traffic denn langläuft. Hier zeigte sich auf der UTM mit der Multi-WAN-Konfiguration, also der Zentrale, das entgegen der ursprünglichen “Rule Routing-freien Konfiguration” der Traffic zum Netz der Außenstelle nicht in das WireGuard-Interface, sondern über das des Glasfaser-Anschlusses ging.
Die Lösung, wenn man sie kennt oder wie hier erarbeitet hat, ist einfach:
- In den Paketfilter-Regeln des Site-to-Site-VPNs (Für beide Richtungen!) unter “EXTRAS – Rule Routing” das entsprechende Interface (hier “wg1”) konfigurieren:
![]()
- Ferner diese Regeln bzw. die Regel-Gruppe ganz oben in der Reihenfolgte (Stichwort: First Matching Rule) platzieren.
Wie hat Dir der Artikel gefallen ?
Note: There is a rating embedded within this post, please visit this post to rate it.Du möchtest den Blog unterstützen ?
Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.
Quellen
Securepoint UTM – Wiki – Rulerouting
Securepoint UTM – Wiki – Multipathrouting
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.