Bei einer Watchguard habe ich immer wieder Probleme mit dem Betrieb mehrer externer Interfaces erlebt. Daher hier ein kurzer „Walkthrough“, wie es stabil laufen kann.

Zunächst gilt in der allgemeinen Multi-WAN-Konfiguration zu beachten, dass ich hier absichtlich keinen Failover verwende, sondern den Routing-Table-Mode (siehe Punkt 1). Der generelle Failover hat in diversen Konfigurationen im Zusammenspiel mit BOVPN zu seltsamen Beeinträchtigungen geführt.

Als Ping- sowie TCP-Monitor müssen unterschiedliche Ziele pro Interface definiert werden, so dass auf den einzelnen Interfaces nicht die gleichen IP’s oder URL’s abgefragt werden (siehe Punkt 2 und 3). Es kommt sonst vermehrt zum Interface-Ping-Pong, sprich Inteface 1 ist up / Interface 2 ist down und umgekehrt. Warum dies geschieht, wissen die Götter. Es scheint ein Bug in der Fireware zu sein.

Ich verwende für den Ping-Monitor hier Loadbalancer der Telekom. Das funktioniert natürlich nur bei Telekom-Leitungen. Weitere gute Ping-Ziele sind öffentliche DNS-Server-IPs.

Hier noch kurz ein Screenshot, wie ich an die IP’s der Loadbalancer gelangt bin. Aus dem Netz der Telekom reagieren diese auf HTTP-Proxy-Anfragen sowie DNS-Anfragen:

So sieht es fertig konfiguriert aus:

In den Firewall-Regeln, die für ausgehenden Datenverkehr zuständig sind, definiere ich dann, …

1. welches Interface für die Internetnutzung in Anspruch genommen werden soll.
2. das Failover sowie die Priorisierung der Interfaces.

Dieser Vorgang muss dann für alle Regeln, die Datenverkehr nach extern regulieren, wiederholt werden.

DNS-Server werden vom Internetprovider zur Verfügung gestellt. Aber was macht man, wenn man zwei Leitungen von unterschiedlichen Providern an einer Firewall betreiben möchte?

Die Firma Level 3 Communications betreibt auf folgenden IP-Adressen DNS-Cluster. Diese sind aus allen Netzen verfügbar:

4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6

Alternativ können die Google-DNS-Server verwendet werden. Diese sind allerdings in der letzten Zeit hin und wieder durch schlechte Reaktionszeiten negativ aufgefallen – wahrscheinlich aufgrund von DoS-Attacken.

8.8.8.8
8.8.4.4

Weitere Server können im Wiki der Firewall-Distribution IPFire nachgeschlagen werden:
https://wiki.ipfire.org/dns/public-servers

Update April 2018:

Das Unternehmen Cloudflare stellt seit diesem Monat zwei Anycast-DNS-Services unter folgenden IP-Adressen zur Verfügung:

1.1.1.1
1.0.0.1

Des Weiteren bin ich auf den DNS-Dienst von Quad 9 gestoßen, der sowohl Zuverlässigkeit als auch Datenschutz verspricht:

9.9.9.9

Update Dezember 2019

Die Resolver der Firma Level 3 haben in der letzten Zeit oftmals Anfragen mit Timeouts quttiert. Ich rate daher von Ihrer Nutzung ab.
Die Server von Quad 9 sowie Cloudflare scheinen zuverlässiger zu sein.

Wer DD-WRT nutzt, sollte schnellstens patchen, da Linux eines der Betriebssysteme ist, welches besonders angreifbar für KRACK ist.

Momentan gibt es erst ein Beta-Release einer Firmware, die diese Lücke schließen soll. Das entsprechende Release-Build lautet r33555 und kann hier bezogen werden:

ftp://ftp.dd-wrt.com/betas/2017/10-20-2017-r33555/

Das Update kann einfach über das Webinterface der Routerfirmware eingespielt werden.

Update:

Das neuste (Beta-) Release kann stets unter ftp://ftp.dd-wrt.com/betas/ bezogen werden. Die Releases sind auf dem FTP-Server nach Release-Date sortiert abgelegt.