Hallo Gruppe,

offenbar ist es für mich schon zu Freitagabend, denn ich verstehe gerade ein mittelkomplexes IP-Setup nicht.


Gegeben sei ein Router mit ADSL IP 1.2.3.4 (GW 1.2.3.254) der Maskiert, VPN-Server spielt und DNAT in eine DMZ macht. Nun bekommt der einen schnelleren SDSL (IP 5.6.7.8, GW 5.6.7.254), der perspektivisch den ADSL ablösen soll. Vorerst muss aber Parallelbetrieb gewährleistet sein, bis alle roadwarrior usw. umgestellt sind. Man möchte dabei aber schon in den Genuss der neuen Bandbreite kommen.

Die /etc/network/interfaces führt den SDSL wie folgt

iface eth0 inet static
  address 5.6.7.8
  netmask 255.255.255.0
  gateway 5.6.7.254

und den ADSL so

iface eth3 inet static
  address 1.2.3.4
  netmask 255.255.255.0
  post-up ip route add default via 1.2.3.254 dev eth3 table adsl
  post-up ip rule add fwmark 2 table adsl
  post up ip rule add from 1.2.3.4 table adsl

Dazu muss nun die /etc/iproute2/rt_tables folgendes enthalten

2  adsl

Ich habe der mangle Tabelle von iptables (noch?) nichts hinzugefügt.
In der nat Tabelle hingegen gibt es:

-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE #mask für LAN2WAN am SDSL-Interface -A PREROUTING -d 5.6.7.8 -i eth0 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.11:443 #https SDSL WAN2GW ins LAN -A PREROUTING -d 1.2.3.4 -i eth3 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.11:443 #https ADSL WAN2GW ins LAN

Nun funktioniert (iptables Policy DROP, paar mehr Regeln, logging an, hoffe nix vergessen zu haben):
- LAN to WAN maskiert
- SSH vom WAN zu ADSL und SDSL
- ping vom WAN an ADSL und SDSL incl. Antwort
- traceroutes mit nur je einem hop zu den beiden xDSL-Gegenstellen
- WAN to SDSL https liefert die Seite vom Webservers des LAN

Was mir nicht einleuchtet:
- WAN to ADSL https ist mit tcpdump noch an eth3 eingehen zu beobachten aber ... - das DNAT müsste dazu führen, dass ich am LAN interface den traffic sehe, tue ich im Gegensatz zum SDSL aber nicht - meine letzten iptables Regelen sind Logeregeln, die zeichnen davon nix auf

Also habe ich die Routentabelle "adsl" noch ergänzt:

ip route add 192.168.0.0/24 dev eth2 table adsl #auf src verzichtet, damit DNAT Erfolg haben kann

Dass ich mit tcpdump vom DNAT nichts am LAN interface sehe, wenn ich ADSL anspreche, kann doch erstmal nur am Routing liegen oder? Was verdammt nochmal übersehe ich gerade?


--
Mit freundlichen Grüßen / Kind regards
     Ronny Seffner
--
Ronny Seffner  |  Alter Viehweg 1  |  01665 Klipphausen

www.seffner.de  |  ro...@seffner.de  |  +49 35245 72950

Antwort per Email an