{"id":223,"date":"2010-09-08T08:54:47","date_gmt":"2010-09-08T07:54:47","guid":{"rendered":"http:\/\/janscholten.de\/blog\/?p=223"},"modified":"2010-09-08T08:55:10","modified_gmt":"2010-09-08T07:55:10","slug":"fortigate-zwei-wan-schnittstellenisps-nutzen-einen-default-weg-haben","status":"publish","type":"post","link":"https:\/\/janscholten.de\/blog\/2010\/09\/fortigate-zwei-wan-schnittstellenisps-nutzen-einen-default-weg-haben\/","title":{"rendered":"Fortigate: Zwei WAN Schnittstellen\/ISPs nutzen, einen default Weg haben"},"content":{"rendered":"<p>M\u00f6chte man bei einer Fortigate zweit WAN Zug\u00e4nge oder ISPs anschliessen, z.B. f\u00fcr Backup oder Lastverteilung kommt man zu dem Punkt: Wie geht das?<\/p>\n<p>Szenario:<br \/>\nEinen Provider am WAN1 (schnelle Leitung)<br \/>\nzweiten Provider am WAN2 (langsamere Verbindung)<\/p>\n<p>Wie kann man vorgehen?<br \/>\nLegt man zwei default Routen mit unterschiedlichen Metriken an ist nur die mit der besseren Metrik in der Routingtabelle, d.h. es wird nur die bessere Route genutzt, Verbindungen \u00fcber die andere Leitung schl\u00e4gt fehl (<a href=\"http:\/\/en.wikipedia.org\/wiki\/Reverse_path_forwarding\">RPF<\/a> wird das wohl verhindern).<\/p>\n<p>Also tr\u00e4gt man zwei default Routen mit gleicher Metrik an!<br \/>\nJetzt macht die Fortigate standardm\u00e4\u00dfig ECMP &#8211; also Lastverteilung. Beide Leitungen werden genutzt. Leider schert sich die Fortigate nicht um die Bandbreite (ggf kann man da in den aktuellen Versionen mit weightend ECMP was drehen), wird also recht fix die langsamere Leitung \u00fcberlasten.<\/p>\n<p>Die L\u00f6sung: Priorit\u00e4ten f\u00fcr Routen. Das ist \u00e4hnlich wie Metriken, verhindert aber nicht das die Route aus der Routing Tabelle verschwindet. Sind zwei Routen zum Ziel da wird die mit der niedrigeren Priorit\u00e4t gew\u00e4hlt.  bei gleicher Prio greift wieder ECMP.<br \/>\nDadurch die Route in der Routing Tabelle vorhanden ist kann man Sessions \u00fcber beide WAN Verbindungen aufbauen und mittel Policy Routing auch einzelnen Traffic \u00fcber eine WAN Strecke forcieren (z.B. http Traffic \u00fcber die langsamere Verbindung).<\/p>\n<p>Die Priorit\u00e4ten kann man nur \u00fcber die CLI einrichten.<br \/>\nBeispiel:<br \/>\n<code><br \/>\nconfig router static<br \/>\nshow<br \/>\n<\/code><br \/>\nDie entsprechenden Eintr\u00e4ge anpassen<br \/>\n<code>edit 1<br \/>\n\" set device \"\"wan1\"\"\"<br \/>\nset gateway 192.168.1.100<br \/>\nset priority 1<br \/>\nnext<br \/>\nedit 2<br \/>\n\" set device \"\"wan2\"\"\"<br \/>\nset priority 5<br \/>\nset gateway 172.16.31.254<br \/>\nnext<\/code><br \/>\nIn diesem Fall w\u00fcrde der Traffic defaultm\u00e4\u00dfig \u00fcber WAN1 gehen (niedrigere Priorit\u00e4t), aber eingehender Verkehr \u00fcber WAN2 wird erlaubt. F\u00e4llt WAN1 weg geht der Verkehr \u00fcber WAN2.<\/p>\n<p>Nat\u00fcrlich muss man sich noch um passende VIPs\/ACLs an den entsprechenden Interfaces k\u00fcmmern und auch DNS im Hinterkopf behalten.<\/p>\n<p>Die ASA von Cisco hat sowas meines Wissens nicht, es gibt immer nur eine aktive Defaultroute Loadbalancing kann sie nicht. Ein Failover kann man ggf mit SLAs.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>M\u00f6chte man bei einer Fortigate zweit WAN Zug\u00e4nge oder ISPs anschliessen, z.B. f\u00fcr Backup oder Lastverteilung kommt man zu dem Punkt: Wie geht das? Szenario: Einen Provider am WAN1 (schnelle Leitung) zweiten Provider am WAN2 (langsamere Verbindung) Wie kann man vorgehen? Legt man zwei default Routen mit unterschiedlichen Metriken an ist nur die mit der &hellip; <a href=\"https:\/\/janscholten.de\/blog\/2010\/09\/fortigate-zwei-wan-schnittstellenisps-nutzen-einen-default-weg-haben\/\" class=\"more-link\"><span class=\"screen-reader-text\">Fortigate: Zwei WAN Schnittstellen\/ISPs nutzen, einen default Weg haben<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,7,28,12],"tags":[16,53,22],"class_list":["post-223","post","type-post","status-publish","format-standard","hentry","category-cisco","category-erfahrungen","category-fortinet","category-job","tag-asa","tag-fortinet","tag-redundanz"],"_links":{"self":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/223","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/comments?post=223"}],"version-history":[{"count":3,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/223\/revisions"}],"predecessor-version":[{"id":226,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/223\/revisions\/226"}],"wp:attachment":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/media?parent=223"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/categories?post=223"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/tags?post=223"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}