WatchGuard Multi-WAN und Policy Based Routing

An einer WatchGuard Firewall können bis zu vier Schnittstellen als "External Interface" konfiguriert werden, wenn "Fireware Pro" lizenziert ist. Daran können Internet-Zugänge von verschiedenen Providern angeschlossen werden.

Haben Sie eine teure Standleitung mit wenig Bandbreite, die bisweilen stark belastet oder gar überlastet ist, weil viel HTTP/HTTPS-Traffic die Leitung benutzt und nur wenig Bandbreite für ERP, VPN, Datenbanken und andere unternehmenskritische Anwendungen übrig bleibt, kann ein asynchrones ADSL, VDSL oder ein Kabel-TV-Anschluss als zweiter Internet-Zugang an die WatchGuard angeschlossen werden. Über die Firewall-Regeln wird dann mit "Policy Based Routing" festgelegt, dass der ausgehende HTTP und HTTPS Verkehr über die zweite, kostengünstigere Leitung geführt wird.

Wenn ein zusätzlicher Port als "External Interface" konfiguriert wird, sind auch Einstellungen für die Führung des Verkehrs über die verschiedenen Schnittstellen vorzunehmen. Dazu wird im Policy Manager unter "Network" > "Configuration" die Registerkarte "Multi-WAN" geöffnet. Hier wählt man als Default-Verhalten anstelle des voreingestellten Verfahrens "Routing Table" das Verfahren "Failover" aus und aktiviert hinter dem Button "Configure" die am Multi-WAN beteiligten externen Interfaces hier (0)=eth0, (1)=eth1.

Die angezeigte Reihenfolge der Interfaces entspricht auch dem tatsächlichen Verhalten der WatchGuard Firebox für ausgehende Verbindungen. Sofern kein Regel-basiertes Routing ein anderes Verhalten vorschreibt, werden die Interfaces gemäß dieser Liste von oben nach unten abgearbeitet. Wenn das weiter oben aufgeführte Interface "active" ist, dann wird auch dieses benutzt, sonst wird das nächste aktive Interface in der Liste verwendet.

Die Erkennung, ob ein Interface "active" ist wird in der WatchGuard ebenfalls über die Registerkarte "Multi-WAN" gesteuert.

Für jedes Multi-WAN-Interfaces wird definiert, wie die WatchGuard die Verbindung prüfen soll. Im Standard pingt die WatchGuard alle 15 Sekunden das jeweilige Default Gateway. Wenn die angepingte IP-Adresse 60 Sekunden lang nicht antwortet, wird das Interface auf "inactive" gesetzt. Kommen drei aufeinanderfolgende Antworten zurück, wird das Interface wieder auf "active" gesetzt.

Da der Default Gateway einer Standleitung der Übergaberouter des Providers ist, der sich meist direkt vor der WatchGuard befindet, lässt sich keine Aussage über die Funktion der Internet-Anbindung treffen. Bei einer PPPoE-Einwahl wird das Default Gateway vom Provider zugewiesen. Genau diese antwortet aber in vielen Fällen nicht auf einen Ping. In diesen Fällen sollten also hochverfügbare IP-Adressen im Internet als Ping-Ziel definiert werden.

Wird der selbe PPPoE Provider mehrmals auf verschiedenen Schnittstellen benutzt, kann es bei älterem Softwarestand zu Problemen mit dem doppelt definierten Default-Gateway des Providers, mit Leitungsabbrüchen und sporadischem Failover kommen. Bitte spielen Sie in diesem Fall mindestens das Fireware-Update 11.3.4 CSP6 ein. Eventuell kann hier die WatchGuard auch hinter einem PPPoE-Router betrieben werden.

Bei einem Betrieb hinter einem PPPoE-Router oder einer Fritzbox wird das entsprechende externe Interface der WatchGuard auf "DHCP Client" gestellt, die Fritzbox / PPPoE-Router normal mit DHCP Server betrieben und mit Port-Forwarding/ NAT wird der komplette Traffic auf die WatchGuard durch geschoben. Den Rest regelt dann wieder die WatchGuard.

Sie können eine Richtlinie mit einer bestimmten externen Schnittstelle für den ausgehenden Datenverkehrkonfigurieren, für den diese Regel passt. Diese Technik wird als Policy-based Routing bezeichnet. Policy-based Routing hat Vorrang vor anderen Multi-WAN-Einstellungen. Das Erscheinungsbild der Firewall-Policy Einstellungen verändert sich durch die Verwendung von "Multi-WAN". Über die jetzt sichtbaren erweiterten Einstellungen lässt sich das regelbasierende Routing-Verhalten im Multi-WAN-Umfeld festlegen. Man wählt für ausgehende HTTP und HTTPS Regeln das vom Standard-Multi-WAN abweichende externe Interface aus. Dadurch wird der ausgehende HTTP/HTTPS Traffic inklusive der Downloads über das zweite Interface geführt und somit die Standleitung von diesem Traffic entlastet. So kann diese Bandbreite für die unternehmenskritischeren Anwendungen genutzt werden.

Zur Konfiguration von Policy-based Routing mit Failover wählen Sie "Failover" aus.
Wenn Sie "Failover" nicht wählen und die Schnittstelle, für die Sie diese Regel setzen nicht aktiv ist, wird der Verkehr ausgesetzt, bis die Link-Überwachung feststellt, dass die Schnittstelle wieder verfügbar ist.
Klicken Sie auf "Configure", um Backup-Schnittstellen für diese Regel anzugeben. Wenn die primäre Schnittstelle, die Sie für diese Regel setzen nicht aktiv ist, wird der Verkehr auf die Schnittstelle gesendet, die Sie hier angeben.

GepaNet GmbH: Ihr WatchGuard Gold Partner

GepaNet GmbH ist einer von 19 WatchGuard Gold Partnern in ganz Deutschland. Die WatchGuard Gold Partnerschaft ist die höchste Qualifizierungsstufe, die ein WatchGuard Authorized Reseller bei WatchGuard erreichen kann. Wir konfigurieren und implementieren täglich WatchGuard-Produkte (und eine Vielzahl anderer Firewalls unterschiedlicher Hersteller) bei unseren mittelständischen und großen, internationalen Kunden. Deshalb können wir ein sehr breites Spektrum an Know-how vorweisen. Bestätigte Referenzen aus einer Vielzahl erfolgreicher Firewall- und WLAN-Projekte aller Größen nennen wir Ihnen gerne auf Anfrage. Werden auch Sie ein zufriedener WatchGuard-Kunde bei GepaNet GmbH.

Mit unserem umfangreichen Schulungs-Angebot zum Thema „Sicherheit“ bereiten wir IT-Profis auf mögliche Gefahren und Angriffe im Web vor und bieten zahlreiche bewährte Lösungsmodelle an. Die Kurse fangen mit der Grundkonfiguration der WatchGuard Firewalls und der Fireware XTM an und führen bis in Detail mit erweiterten Funktionen wie Multi-WAN, VLAN, FireCluster, AD-Authentifizierung, Managementserver, AccessPoint-Einbindung und VPN ein. Die Kurse bestehen aus Theorie-Teilen gefolgt von „Hands-On“ Elementen die das vermittelte Wissen vertiefen. Alle WatchGuard Schulungen und Workshops, führten wir auch ganz individuell in Ihren eigenen Räumen, einem Hotel oder Veranstaltungsraum in Ihrer Nähe durch. Wir stellen dazu nach Absprache auch WatchGuard AccessPoints oder Firebox Firewalls für Hands-On-Training und die erforderliche Präsentationstechnik zur Verfügung. Im Rahmen der Workshops kann individuell auf Ihre bestehende oder geplante Netzwerk-Infrastruktur eingegangen werden. Viele Kunden haben bereits eine ein- bis dreitägige Individual-Schulung gebucht, bei der dann die neu gekaufte WatchGuard Firebox Infrastruktur inklusive AccessPoint Struktur für den Produktivbetrieb vorbereitet und in Betrieb genommen wurde.

WatchGuard Firewall		Beschreibung
WatchGuard Firebox T20 -W WatchGuard Firebox T40 -W		WatchGuard Firebox T20   5 Benutzer 154 Mbps UTM WatchGuard Firebox T40  20 Benutzer 300 Mbps UTM Die -W Modelle unterstützen Wireless 802.11 a/b/g/n
WatchGuard Firebox T80		WatchGuard Firebox T80  50 Benutzer 631 Gbps UTM optionaler SFP+ Moduleinschub für 10GbE
WatchGuard Firebox M270 WatchGuard Firebox M370 WatchGuard Firebox M470 WatchGuard Firebox M570 WatchGuard Firebox M670		WatchGuard Firebox M270    70 Benutzer  1,6 Gbps UTM WatchGuard Firebox M370  200 Benutzer  2,6 Gbps UTM WatchGuard Firebox M470  400 Benutzer  3,1 Gbps UTM WatchGuard Firebox M570  750 Benutzer  4,4 Gbps UTM WatchGuard Firebox M670 1000 Benutzer  5,4 Gbps UTM
WatchGuard Firebox M290 WatchGuard Firebox M390 WatchGuard Firebox M590 WatchGuard Firebox M690		WatchGuard Firebox M290    75 Benutzer  1,1 Gbps UTM WatchGuard Firebox M390  250 Benutzer  2,4 Gbps UTM WatchGuard Firebox M590  500 Benutzer  3,3 Gbps UTM WatchGuard Firebox M690  850 Benutzer  4,6 Gbps UTM
WatchGuard Firebox M4800 WatchGuard Firebox M5800		WatchGuard Firebox M4800  2500 Benutzer 50Gbps FW WatchGuard Firebox M5600  10000 Benutzer 60 Gbps FW
WatchGuard FireboxV WatchGuard Firebox Cloud		WatchGuard FireboxV virtuelle Firewall für VMware, MS Hyper-V oder KVM Hypervisor. WatchGuard Firebox Cloud für Ihre AWS und Azure Cloud.
WatchGuard  WiFi 5 APs WatchGuard AP1255 WatchGuard AP225W WatchGuard AP325 WatchGuard AP420		Unter WSM zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit. WatchGuard AP125, AP225W, AP325, AP420: die sichersten 802.11ac Wave2 AccessPoints.
WatchGuard WiFi 6 APs WatchGuard AP130 WatchGuard AP330 WatchGuard AP430CR		Unter WatchGuard Cloud zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit. WatchGuard AP130, AP330, AP430CR: die schnellsten und sichersten WiFi 6 AccessPoints.
WatchGuard Promo Trade-Up Programm Trade-In Programm		Sie möchten ein größeres Modell? Oder einen anderen Hersteller wie Fortinet, Sophos, Sonicwall,... ablösen und mit WatchGuard Trade-In zur supergünstigen Firewall?
GepaNet WatchGuard Dienstleistungen
WatchGuard Schulung WatchGuard Training		Training, Schulung, Einrichtungs-Workshops, Zertifizierungs-Kurse mit zugelassenen WatchGuard Trainern. WatchGuard Certified Training Partner (WCTP)
WatchGuard Support		Sicherheitsberatung, Inbetriebnahme, Regeländerungen und Problembehebung durch ausgebildete, technische WatchGuard-Supporter
Managed Security Service MSSP		Zentrale Verwaltung durch GepaNet MSSP. Administration, Regeländerungen, Pflege der VPN Struktur, Installation von Security Hotfixes, Update Service, Logging, Log-Auswertung, Reporterstellung, Backup, Restore, Hardwareservice, usw.
WatchGuard Subscription Services
WatchGuard FireCluster		Hochverfügbarkeit durch zweite Cluster-Firewall mit HA-Promo.
WatchGuard Lizenzen		WatchGuard Subscription Services; Standard Support, Basic Security Suite, Total Security Suite und Software-Updates.
WatchGuard APT Blocker		WatchGuard APT: Abwehr von Advanced Persistent Threats und unbekannter Malware.
WatchGuard Mobile Security		Mobile Security: Schutz für Android und iOS.
WatchGuard Dimension		WatchGuard Dimension: Visualisierung und optionale Verwaltung über Dimension Command.
WatchGuard TDR		TDR: Bedrohungsanalyse und Abwehrkorrelation zwischen Firewall und Endpoints.
WatchGuard DNSwatch		DNSWatch verringert Infektionen durch Schadsoftware, indem bösartige DNS-Anforderungen blockiert werden.
WatchGuard AccessPortal		Zentraler Zugangspunkt für gehostete Anwendungen und sicherer, clientloser Zugriff auf interne Ressourcen.
WatchGuard IntelligentAV		Signaturlose Anti-Malware mit künstlicher Intelligenz zur automatischen Erkennung von Zero-Day-Schadsoftware.
WatchGuard AuthPoint		Multifaktor Authentifizierung: Push, OTP oder QR-Code.
WatchGuard System Manager (WSM)		Zentrale Firewall-Verwaltung. Die Konfiguration und VPN Struktur wird zentral, einfach verwaltet und verteilt.
Panda Security		100% Malware Erkennung und Beseitigung.
WatchGuard Endpoint Security		WatchGuard Endpoint Security: Schützt Sie vor jedem endpoint Angriff von bekannter und unbekannter Malware.

_{GepaNet GmbH >> Services >> Tipps und Tricks >> WatchGuard Multi WAN}

GepaNet GmbH: Ihr IT-Systemhaus für Netzwerke, e-Security, Firewallsysteme

Wir beliefern Unternehmer (BGB §14/1) und Behörden in ganz Europa. Wir liefern nicht an Verbraucher (BGB §13). Änderungen und Irrtümer vorbehalten. Modelle, Preise und Lieferfähigkeit können sich täglich ändern. Preise verstehen sich zuzüglich der Versand- und Frachtkosten sowie der gesetzlichen MwSt. Für alle Aufträge gelten ausschließlich unsere AGB. Zusatzinformationen, Datenblätter und AGB senden wir Ihnen gerne zu.
Netzwerk-Vor-Ort-Betreuung im Bodensee Gebiet, Süddeutschland, Baden-Württemberg, Bayern, Allgäu, Vorarlberg, Schwaben, Appenzell, Augsburg, Arbon, Bad Waldsee, Biberach, Bludenz, Bregenz, Dornbirn, Feldkirch, Friedrichshafen, Freiburg, Füssen, Götzis, Günzburg, Heidenheim, Hohenems, Illertissen, Immenstaad, Immenstadt, Isny, Kaufbeuren, Kempten, Kißlegg, Konstanz, Landsberg, Laupheim, Lauterach, Leutkirch, Lindau, Lustenau, Markdorf, Marktoberdorf, Mengen, Memmingen, Mindelheim, Oberstaufen, Oberstdorf, Pfronten, Pfullendorf, Rankweil, Ravensburg, Reutlingen, Romanshorn, Salem, Saulgau, Sigmaringen, Simmerberg, Sonthofen, St. Gallen, St. Margrethen, Tettnang, Tübingen, Tuttlingen, Überlingen, Ulm, Wangen und Weingarten.

AGB        Lieferung     Datenschutzerklärung     Impressum