Routing komplex

[Mister.Sax]

Hi,

ich hab hier ne Aufgabenstellung, zu der ich im Forum keine Lösung finden konnte oder aber sie übersehen hab. Und zwar hab ich einen Gentoo Router, der zum einen eine 2MBit-Standleitung für´s Internet bedient. Zum anderen hängt an einem weiteren Interface ein LanCom DSL-Teil, welches der Default Gateway ins Web ist via DSL.

Es ist nun so, daß über die 2MBit-Leitung von Extern Aufrufe an unser Intranet erfolgen. Diese laufen nun ins Leere. Ich kann und darf als Default Gateway nicht den Router an der 2MBit nutzen, er muß das Lancom bleiben. Das ist ne spezielle Konstellation.

Ist nun Source Routing die Lösung? Pakete, die von der 2MBit für´s Intranet hereinkommen, sollen auf der gleichen Leitung wieder rausgehen. Wie ist das unter Gentoo zu bewerkstelligen? iproute2? extended routing? Oder was gibt es da?

Ich bitte dringend um Hilfe.

[bla!zilla]

Normalerweise sollten die Pakete (da es sich um Antwortpakete handelt) den gleichen Weg zurück nehmen. Bitte wirf mal einen Packetsniffer an, und schau dir den Datenverkehr an.

[Mister.Sax]

normalerweise ja. Doch in dieser Konstellation ist der default gateway ein anderer. Wie ist das mit extended routing?

[bla!zilla]

Wirf doch mal einen Packetsniffer an. Dann siehst du doch wo die Pakete hinwollen / was sie nicht erreichen. Das musst du erstmal wissen, bevor du irgendwelche Routingkonzepte aufbaust. Erstmal die Hausaufgaben machen.

[403]

Guten Tag,

Es sollte doch reichen, die Routen an die entsprechenden Interfaces
zu binden, oder?

Also mit %route add -net xxxxxxxx via eth1

wobei eth1 dann die 2mbit Leitung wäre.

Poste dochmal die Routing Tabelle. Oder bist Du immernoch am designen?

Source Routing und QOS ist, wenn ich jetzt nicht einen wesentlichen Punkt
übersehen habe, nicht nötig.

[Mister.Sax]

Das ist die Frage. Es sollen ja nur Pakete, die von extern über den Router an der 2 MBit kommen und zum Intranet-Server gehen, wieder über die 2MBit raus. Die Anfragen, die der Intranet-Server intern beantwortet, gehen nen anderen Weg. Und der restliche Traffic ins Web geht über einen DSL-Anschluß, der an einem anderen Interface des Gentoo-Servers hängt. Also denk ich ist ne Betrachtung der Source-Address schon angesagt.

[403]

OK, dann brauchst du also doch eine Markierung. Das geht mit iptables und
--setmark. Einfach mal ein gutes Iptables Tutorial suchen.

Mist

[Mister.Sax]

Werd ich mir morgen oder Montag mal vornehmen. Heut ist noch Inbetriebnahme einer Gigabit-Glasfaser zwischen zwei Gebäuden und damit verbunden massives Ändern im Routing und VLANs.

[Thorashh]

Was du suchst, ist das sogenannte "policy routing". Also Routing anhand der Quelladresse.

Policy Routing Book

- + - - - - -

Normalerweise sollten die Pakete (da es sich um Antwortpakete handelt) den gleichen Weg zurück nehmen.

Nein. Ein Router betrachtet ausschließlich die Paketdaten und routet das Paket dann entsprechend. Sonst würde ja jede Routenänderung auf einem Router alle Verbindungen abbrechen lassen. Das ist ja gerade die große Stärke von TCP/IP Verbindungen, daß das nicht passiert.

[bla!zilla]

Nein. Ein Router betrachtet ausschließlich die Paketdaten und routet das Paket dann entsprechend. Sonst würde ja jede Routenänderung auf einem Router alle Verbindungen abbrechen lassen. Das ist ja gerade die große Stärke von TCP/IP Verbindungen, daß das nicht passiert.

Hast natürlich Recht. War mal kurz wo anders.

[bert2002]

Wenn es eine Loesung gibt bin ich auch sehr sehr sehr interesiert. Ich hab es naemlich nicht hinbekommen...

MfG bert2002

[Jinto]

Warum NATtest du das ganze nicht einfach?

Wenn ich dich richtig verstand, erfolgt der Verbindungsaufbau von extern über die zweite Leitung, oder?

[Mister.Sax]

Hallo Thorashh,
ich denk das ist die Richtung. Und wo finde ich dazu ein verständliches How-To? Das Quellpaket hat ne konkrete Anfrage auf Port 443 auf die offizielle Adresse unseres Intranet-Servers. Die wird wenn ich das richtig sehe, nach innen genattet. Und sollten eben nun denselben Weg retour, nicht den über das Default Gateway.

[MDK-user]

Moin moin,
mal eine Frage, was genau soll und darf denn über die Standleitung reinkommen? Irgenwas bestimmtes? Wenn ja, dann ist die Lösung recht einfach über Firewall und Iptables Script zu regeln..... ich geh als mal davon aus das du 3 NIC im Router hast.....
ich nehme nun mal an das:
eth0=LAN
eth1=DSL
eth3=Standleitung
sind.....
sodele... schon kann man was damit anfangen...
also.. Dienst/Protokoll/Port auf eth1 unterscheiden sich von dem was per Firewall durch eth2 gehen kann.... wie ich meine eine recht einfach Lösung...

Wenn die Dienste aber auf allen eth zu Verfügung stehen sollen dann ist tricksen angesagt.....
Ich gehe mal davon aus, das die Standleitung wegen Traffic aufkommen entlastet werden soll..... auch da könnte man ansetzen Radius? Diameter?

Als default -gateway -route würde ich die Route per DSL eintragen.... schon mal mit Squid probiert? das kann hilfreich sein
Gruß

[Thorashh]

Hallo Thorashh,
ich denk das ist die Richtung. Und wo finde ich dazu ein verständliches How-To?

Versuch es mal hiermit: http://www.compendium.com.ar/policy-routing.txt

Das Quellpaket hat ne konkrete Anfrage auf Port 443 auf die offizielle Adresse unseres Intranet-Servers. Die wird wenn ich das richtig sehe, nach innen genattet. Und sollten eben nun denselben Weg retour, nicht den über das Default Gateway.

Vergisst mal für einen Moment die eingehenden Pakete. Die kommen so oder so über die Standleitung rein.
Du musst für alle Pakete die aus dem Intranet kommen und die über die Standleitung rausgehen sollen, entsprechende Routingregeln erstellen. Z.B. basierend auf der Quelladresse.
Ich hoffe jetzt mal für Dich, das nur bestimmte Rechner im Intranet über die Standleitung kommunizieren sollen.

Sonst müsstest Du mal genauer schreiben wie das Szenario aussehen soll.