Bei einigen Tarifen bietet KabelBW bzw. jetzt Unitymedia mehrere statische IP Adressen an.
Diese müssen über deren Portal aktiviert werden. Hierzu sind die MAC Adressen der WAN-Anschlüsse des bzw. der Router ein zu tragen. Jeder MAC Adresse kann EINE statische IP Adresse zugewiesen werden.
Üblicherweise bekommt der Kunde bei einem Business-Anschluss mit 5 statischen IP Adressen ein Cisco Modem. Dahinter wird dann ein Router bzw. eine Firewall angeschlossen.
In unserem Fall betreiben wir eine Sophos Firewall daran. Diese, wie sehr viele andere Router/Firewalls, bietet zwar die Möglichkeit, virtuelle Adressen am WAN Port zu definieren. Das bringt uns unserem Wunschszenario, mehrere IP Adressen an den WAN Port der Firewall zu leiten, aber nicht näher.
Unser Weg:
Hinter dem Cisco-Modem greifen wir das Internetsignal nicht direkt mit der WAN-Schnittstelle der Sophos ab (was nur eine MAC hätte), sondern schalten einen 5-Port Gigabit Switch dazwischen. Nun leiten wir zwei WAN-Leitungen an zwei Schnittstellen der Firewall, welche wir jeweils als WAN (WAN1 und WAN2) konfigurieren. Somit verfügen wir nun über ZWEI MAC Adressen, die wir den jeweils gewünschten IP Adressen im Portal von Unitymedia zuordnen. Nun erhalten wir auch die entsprechenden Adressen in der Sophos Firewall.
Wir möchten einen FTP Server aus dem LAN heraus so betreiben, dass dieser über die 2. statische IP Adresse erreichbar ist UND auch darüber hinaus ins Internet gelangt. Leider lässt sich nur EINE der WAN-Anschlüsse als Default Gateway definieren. Routing Policies etc. verhalfen uns nicht, dieses Szenario um zu setzen.
Was hilft ist die Konfiguration der beiden WAN-Schnittstellen unter Interfaces & Routing/Interfaces als Uplink balance:
Auf diese Weise können beide nun als Default Gateway fungieren.
Die Maskierung sieht dementsprechend auch einfach aus (man beachte „Uplink Interfaces“):
Zu guter letzt, und das bringt den gewünschten Split:
Unter Interfaces & Routing / Multipath Rules kann nun dem einzelnen FTP Server die WAN2 Schnittstelle zugewiesen werden (zweiten Regel). Das restliche LAN hingegen bekommt aber die WAN1 angefacht (erste Regel):