Gateways
Gateways definieren die möglichen Routen, die für den Zugriff auf andere Netzwerke, wie z. B. das Internet, verwendet werden können. Alle verschiedenen Wege, die Ihrer Firewall zur Verfügung stehen, können über diese Seite verwaltet werden, die Sie unter System ‣ Gateways ‣ Einzeln finden.
Diese Gateways können Sie entweder selbst definieren, oder sie werden automatisch von dynamisch konfigurierten Schnittstellen (z. B. dhcp) bereitgestellt, in diesem Fall haben sie keine vordefinierte Adresse.
Wenn ein Gateway automatisch generiert wird, haben Sie dennoch die Möglichkeit, seine Einstellungen zu ändern. Automatisch generierte Gateways haben normalerweise Namen wie WAN_DHCP.
In Fällen, in denen Sie bestimmte Netzwerke an ein bestimmtes Ziel weiterleiten müssen, können Sie statische Routen verwenden, die in System ‣ Routen ‣ Konfiguration konfiguriert werden können und von den Einträgen auf der Gateway-Seite abhängen.
Eine bestimmte Art von Route ist die default -Route. An diese wird der gesamte Verkehr gesendet, wenn keine andere statische Route konfiguriert ist. Es kann immer nur eine Vorgabe pro ip-Protokoll (ipv4, ipv6) in der Routing-Tabelle des Systems vorhanden sein.
Standard-Gateways
Da es nur ein aktives Standard-Gateway geben kann, benötigen wir eine Methode, um herauszufinden, welches zu verwenden ist. Für beide ip-Protokolle (ipv4, ipv6) wird dies gleichermaßen ermittelt.
Gateways haben Prioritäten, die von 1 [sehr wichtig] bis 255 [am wenigsten wichtig] reichen, automatisch generierte Gateways erhalten standardmäßig eine niedrige Priorität (die Sie manuell ändern können).
Als nächstes gibt es eine Einstellung namens upstream, die das Gateway als günstig für die Auswahl des Standardgateways markiert, es können mehrere Upstreams gleichzeitig konfiguriert sein.
Bei der Auswahl eines Standards sortiert der Algorithmus upstream Gateways immer höher (attraktiver) und verwendet die Priorität als nächstes. Wenn keines der Gateways explizit als Upstream gewählt wird, wird das erste Nicht-Upstream gewählt.
In den Fällen, in denen eine Gateway-Überwachung konfiguriert ist, beinhaltet die Auswahl eines Gateways auch das Testen seines aktuellen Status und das entsprechende Handeln, wenn die überwachte Adresse nicht erreichbar ist.
Standardmäßig wählt das System ein (neues) Standardgateway nur beim Start oder wenn eine Schnittstelle verbunden oder getrennt wird. In vielen Fällen möchten Sie vielleicht, dass das Standard-Gateway auch dann gewechselt wird, wenn das aktuelle Gateway nicht mehr erreichbar ist (über die konfigurierte Überwachung), in diesem Fall können Sie die „Gateway-Umschaltung“ in System ‣ Einstellungen ‣ Allgemein
Falls Sie mehrere (dynamische) Gateways haben, die bei einem Ausfall in einer bestimmten Reihenfolge umfallen sollen, setzen Sie einfach ein Priorität- und Upstream-Flag. (z. B. Glasfaser vor 4g bevorzugen) Ihre Auswahl sollte sich entsprechend im Gateway-Raster widerspiegeln (das Wichtigste zuerst).
Übersichtsseite
Die Übersichtsseite (System ‣ Gateways ‣ Einzeln) zeigt alle derzeit bekannten Gateways und deren Status in der Reihenfolge ihrer Wichtigkeit an (das Wichtigste oben). Wenn ein Gateway als „Standard“ gilt, wird hinter dem Namen (aktiv) angezeigt.
Der in der Liste angezeigte Status (aktiv) spiegelt den aktuell berechneten Standard wider, der vom Maschinen-Routing abweichen kann, wenn die Gateway-Umschaltung nicht aktiviert ist. Sie können die aktuelle aktive Vorgabe jederzeit in System ‣ Routen ‣ Status
Prüfen Sie bei der Fehlersuche bei Problemen mit dynamischen Gateways immer, ob das erwartete Gateway tatsächlich in der Liste enthalten ist. Das System berücksichtigt nur die hier angezeigten Elemente.
Einstellungen
Nachfolgend finden Sie die wichtigsten Einstellungen, die für ein Gateway-Element verfügbar sind.
Deaktiviert | (vorübergehend) dieses Element deaktivieren |
Name | Eindeutiger Name für dieses Gateway |
Beschreibung | Optionale Beschreibung für diesen Artikel |
Schnittstelle | Die Schnittstelle, mit der dieses Gateway verbunden ist |
Adressfamilie | IP-Familie (v4 oder v6) |
IP-Adresse | Adresse unseres Gateways, leer/dynamisch wenn dynamisch erzeugt. |
Upstream Gateway | Upstream-Gateway, betrachten Sie dieses Gateway als Standard-Gateway-Kandidaten |
Ferner Gateway | Aktivieren Sie das Kontrollkästchen, damit das Gateway außerhalb des Schnittstellensubnetzes existieren kann. |
Deaktiviere Gatewayüberwachung | Überwachung abschalten (online beachten) |
Monitor IP | Alternative Adresse zur Überwachung, stellen Sie immer sicher, dass die Adresse tatsächlich erreichbar ist und diese Schnittstelle verwendet (über ein statisches Gateway) |
Markiere Gateway als inaktiv | Betrachten Sie dieses Gateway als ausgefallen, so dass es nicht als Standard-Gateway betrachtet werden kann |
Priorität | Priorisiert dieses Gateway, ein niedriger Wert bedeutet wichtiger. |
Fehlersuche
Fehlendes dynamisches Gateway
Die meisten dynamischen Schnittstellentypen schreiben ihr aktuelles Gateway in eine Datei namens /tmp/[interface]_router oder /tmp/[interface]_routerv6. Wenn das erwartete Gateway nicht auf der Seite aufgeführt ist, liegt möglicherweise ein Problem mit dem Schnittstellentyp vor (z. B. stellt der entfernte Server derzeit keins bereit).
Einige VPN-Typen unterstützen das Senden von Datenverkehr an die Schnittstelle, ohne ein zwischengeschaltetes Gateway zu kennen; um dies zu aktivieren, aktivieren Sie „Dynamische Gateway-Richtlinie“ in den Schnittstelleneinstellungen.
Gateway als offline markiert
Wenn ein Gateway als offline markiert ist, prüfen Sie immer zuerst, ob die Monitoradresse über die richtige Schnittstelle erreichbar ist. Sie können Schnittstellen ‣ Diagnose ‣ Ping verwenden, um die Konnektivität zu testen. Falls die Monitoradresse nicht im gleichen Subnetz wie die Schnittstelle liegt, prüfen Sie auch, ob eine statische Route (System ‣ Routen ‣ Status) vorhanden ist, die den angeforderten Datenverkehr an das richtige Upstream-Gateway sendet.
Es sollte immer ein dpinger Prozess aktiv sein, was Sie auf der Dienste-Seite überprüfen können (System ‣ Diagnose ‣ Dienste), schließlich, wenn alles zu laufen scheint, können Sie tief in die Pakete eintauchen, die die Schnittstelle verlassen, wenn dpinger aktiv ist, sollte es ICMP-Pakete geben, die zu Ihrer Monitor-Adresse gehen, die Sie mit Schnittstellen ‣ Diagnose ‣ Paketaufzeichnung untersuchen können.