Verbindungen blockieren falls gewünschtes Gateway nicht verfügbar ist

[juniorfux]

Guten Morgen,

ich bekomme einen Hirsch:
Ich habe 2 Gateways (DSL + LTE).
DSL ist der primäre Zugang, LTE soll verwendet werden, wenn DSL nicht verfügbar ist, aber nicht für Datensicherungen (wegen Datenvolumen der SIM).

Ich habe die Zieladresse der Storagebox bei Hetzner und den verwendeten Port.

Die Gateways habe ich mit
WAN_PPPOE (active)   WAN   IPv4   252 (upstream)   
WAN_LTE   WAN_LTE   IPv4   254 (upstream)

in der zu verwendenten Reihenfolge definiert.

Unter "System" "General" ist " Allow default gateway switching" aktiviert, damit klappt die automatische Umschaltung der Verbindungen und der Anwender merkt keine Unterbrechungen.
Aber auch die Datensicherungen laufen weiter.

Nun habe ich folgende Firewall-Regeln versucht:

Allow Traffic from LAN to Hetzner über DSL
Block Traffic from LAN to Hetzner über LTE


Keine greift Der Verkehr wird zugelassen, wenn DSL nicht verfügbar ist.

Wo ist mein Fehler?


Dankeschön

Manuel

[JeGr]

Moin,

ohne Screen der Regeln kann man da gar nichts zu sagen, weil man nicht weiß was du noch konfiguriert hast und ob die Regeln überhaupt ausgeführt werden. Ich würde das auch nicht über Default GW switching, sondern über eine GW Gruppe und entsprechende Regeln machen. Trotzdem kann man so ohne mehr Details kaum was sagen.

Cheers

[juniorfux]

Sorry, die späte Antwort.

Ein Screenshot meiner Firewall-Regeln anbei.


Ich habe (weiter unten) schon mal versucht, das DSL zu verbieten, ebenfalls ohne Erfolg.

Gateway-Groups hatte ich eingerichtet und eine Regel mit dieser erstellt, allerdings wird wohl die Group "deaktiviert", wenn das Gateway down geht und es geht trotzdem.

Vllt hast Du eine Idee, was ich anrichten könnte.

Gruß

Manuel

[osmom]

Du brauchst 2 Regeln.
Dein Backup-Server über DSL-Gatway zu Hetzner, allow.
Dein Backup-Server über LTE-Gateway zu Hetzner, deny.
Du musst nur noch auf die Reihenfolge achten und dies vor der allgemeinen Regel für die User plazieren.

[schmuessla]

Wo ist mein Fehler?

Firewall- Advanced - Settings

Skip rules when gateway is down.

Wenn du ein spezifisches Gateway erzwingen willst musst du das aktivieren, ansonsten geht er dann über das default gateway was im Fehlerfall LTE ist.

[juniorfux]

Sorry, ich habe nun 2 Regeln erstellt:

Über DSL-Gateway zu Hetzner, allow.
Über LTE-Gateway zu Hetzner, deny.

Außerdem habe ich unter

Firewall - Settings - Advanced

Skip rules when gateway is down
bzw
Disable automatic rules which force local services to use the assigned interface gateway.


mal aktiviert und neu gestartet.


Führt leider nicht zum Erfolg

Ist es falsch, die Regeln als Floating für alle LANs anzulegen?

weiterhin ratlos

Manu

[schmuessla]

Die deny Regel macht eigentlich keinen Sinn, zumindest wenn du die match-first Standardeinstellung hast, Weil dann matched er immer die DSL Gateway Regel und die deny nie.
Mach mal bitte Screenshots wie deine Firewall Regeln jetzt aktuell aussehen mit Detailscreenshot zur Hetznerregel + Info wie der Hetzneralias konfiguriert ist.

[juniorfux]

Danke, für die erneute Anfrage nach Screenshots....pebcak

Auch auf dem vorherigen Screenshot war zu sehen:

Ich Ochse habe Output-Regeln auf den Interfaces erstellt, hätten wohl mal input-Regeln werden wollen....

Dann klappts auch mit dem blocken...