multi-ISP Probleme

Fri, 02 Mar 2018 15:06:06 -0800 

Hallo Gruppe,
offenbar ist es für mich schon zu Freitagabend, denn ich verstehe gerade ein mittelkomplexes IP-Setup nicht. 


Gegeben sei ein Router mit ADSL IP 1.2.3.4 (GW 1.2.3.254) der Maskiert, 
VPN-Server spielt und DNAT in eine DMZ macht.
Nun bekommt der einen schnelleren SDSL (IP 5.6.7.8, GW 5.6.7.254), der 
perspektivisch den ADSL ablösen soll. Vorerst muss aber Parallelbetrieb 
gewährleistet sein, bis alle roadwarrior usw. umgestellt sind. Man 
möchte dabei aber schon in den Genuss der neuen Bandbreite kommen.


Die /etc/network/interfaces führt den SDSL wie folgt

iface eth0 inet static
  address 5.6.7.8
  netmask 255.255.255.0
  gateway 5.6.7.254

und den ADSL so

iface eth3 inet static
  address 1.2.3.4
  netmask 255.255.255.0
  post-up ip route add default via 1.2.3.254 dev eth3 table adsl
  post-up ip rule add fwmark 2 table adsl
  post up ip rule add from 1.2.3.4 table adsl

Dazu muss nun die /etc/iproute2/rt_tables folgendes enthalten

2  adsl

Ich habe der mangle Tabelle von iptables (noch?) nichts hinzugefügt.
In der nat Tabelle hingegen gibt es:


-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE #mask für LAN2WAN 
am SDSL-Interface
-A PREROUTING -d 5.6.7.8 -i eth0 -p tcp --dport 443 -j DNAT 
--to-destination 192.168.0.11:443 #https SDSL WAN2GW ins LAN
-A PREROUTING -d 1.2.3.4 -i eth3 -p tcp --dport 443 -j DNAT 
--to-destination 192.168.0.11:443 #https ADSL WAN2GW ins LAN



Nun funktioniert (iptables Policy DROP, paar mehr Regeln, logging an, 
hoffe nix vergessen zu haben):

- LAN to WAN maskiert
- SSH vom WAN zu ADSL und SDSL
- ping vom WAN an ADSL und SDSL incl. Antwort
- traceroutes mit nur je einem hop zu den beiden xDSL-Gegenstellen
- WAN to SDSL https liefert die Seite vom Webservers des LAN

Was mir nicht einleuchtet:

- WAN to ADSL https ist mit tcpdump noch an eth3 eingehen zu beobachten 
aber ...
- das DNAT müsste dazu führen, dass ich am LAN interface den traffic 
sehe, tue ich im Gegensatz zum SDSL aber nicht
- meine letzten iptables Regelen sind Logeregeln, die zeichnen davon nix 
auf


Also habe ich die Routentabelle "adsl" noch ergänzt:


ip route add 192.168.0.0/24 dev eth2 table adsl #auf src verzichtet, 
damit DNAT Erfolg haben kann



Dass ich mit tcpdump vom DNAT nichts am LAN interface sehe, wenn ich 
ADSL anspreche, kann doch erstmal nur am Routing liegen oder? Was 
verdammt nochmal übersehe ich gerade?



--
Mit freundlichen Grüßen / Kind regards
     Ronny Seffner
--
Ronny Seffner  |  Alter Viehweg 1  |  01665 Klipphausen

www.seffner.de  |  [email protected]  |  +49 35245 72950























					Antwort per Email an