[fli4l] Routing (3.6.2)

Alois Kratochwill salzundpfeffer at aon.at
Do Mai 16 12:13:56 CEST 2013 

Hallo Sebastian,
danke für die schnelle Antwort!

"Sebastian Klein" <fli4l at wysiwyng.de> schrieb im Newsbeitrag 
news:kn280a$is6$1 at vm-news.spline.inf.fu-berlin.de...
> Am 16.05.13 10:46, schrieb Alois Kratochwill:
>> Hallo an alle flis!
>> Der Form wegen: fli4l is great! (aber das wisst ihr ja)
>
> Danke für die Blumen...
>
>> System: v 3.6.2
>> Netze: eth0 (LAN), eth1 (Server) eth2 (Standleitung)
>>
>> Kommunikation (schematisch):
>> eth0 ACCEPT
>> eth0 <> eth1 ACCEPT BIDIRECTIONAL
>> eth1 <> eth2 DNAT/SNAT
>>
>> An eth2 sind momentan 5 IP Adressen (öffentliches Netz: 1.1.1.0/29 )
>> vergeben (IP_NET_3..7) welche mittels PREROUTING (DNAT) und POSTROUTING
>> (SNAT) mit den Servern (172.16.0.0) kommunizieren.
>> Funktioniert bisweilen alles perfekt!
>
> Soweit schon mal klar (wobei die Routing Regeln mal außen vor sind, da 
> unbekannt ;-)
>
>> Jetzt soll ein weiteres Netz ( 2.2.2.0/24 ) an den fli wobei sich die
>> Konfiguration der Netze eh´ wiederholt (IP_NET_8..21 u.s.w.).
>
> Warum so viele Netzwerke bzw. wo dran hängt das Netz? ist das extern oder 
> intern?

Aus einer öffentlichen IP-Range ( sagen wir 1.1.1.0/29 ) ergeben sich die 
Netze
IP_NET_3...7 -> d.h. "eth2" hat in Summe 5 öffentliche IP-Adressen die 
mittels

---
PF_PREROUTING_x='prot:tcp 1.1.1.2:25  DNAT:172.16.0.xxx:25'
---

in die eine und mit

---
PF_POSTROUTING_X='172.16.0.xxx SNAT:IP_NET_3_IPADDR'
---

in die andere Richtung kommunizieren und mit

---
PF_FORWARD_8='if:any:IP_NET_3_DEV ACCEPT'
---
den fli verlassen.


Nun möchte ich eine weitere IP-Range ( sagen wir 2.2.2.0/24 ) an den fli 
bringen.
Beide Netze werden über ein Endgerät ( mit einer Ethernetschnittstelle ) vom 
Anbieter
zur Verfügung gestellt. Ein zusammenhängender Adressbereich ist leider nicht 
möglich.

Da der fli kein "multi WAN" unterstützt, hatte ich vor, die weiteren IP 
Adressen  ebenfalls
an die "eth2" zu binden, d.h. weitere Netze in Form von
---
IP_NET_N='x'
IP_NET_x='2.2.2.2/24'
IP_NET_x_DEV='eth2'
IP_NET_x_NAME='server.fqdn'
---

>
>> Das Problem an dem ich gerade nage ist die Definition der Routen:
>>
>> ---
>> IP_ROUTE_N='1'                            # number of additional routes
>> IP_ROUTE_1='0.0.0.0/0 1.1.1.1'     # Gateway
>> ---
>
> soweit klar: schiebe allen Traffic den du nicht selber behandeln kannst 
> über 1.1.1.1 raus.
>

Genau so!

>> Oben gezeigtes Beispiel würde auch für das 2.2.2.0/24er Netz das Gateway 
>> des
>> 1.1.1.0/29er Netzes verwenden. Das hinzufügen einer definierten
>> Schnittstelle zur Route wie etwa:
>>
>> ---
>> IP_ROUTE_N='2'                                            # number of
>> additional routes
>> IP_ROUTE_1='0.0.0.0/0   1.1.1.1   1.1.1.2'     # Gateway 1
>> IP_ROUTE_2='0.0.0.0/0   2.2.2.1   2.2.2.2'     # Gateway 2
>> ---
>
> Hier versuchst du allen Traffic der nicht für den fli4l ist über _2_ IP's 
> raus zu schieben. Das kann nicht gehen.
>
>> schlägt leider fehl.
>
> siehe oben

OK!

>
>> Oder liege ich überhaupt falsch und ist es völlig egal, über welche IP 
>> die
>> Netze verlassen werden?
>
> Naja die Frage mußt du dir selber stellen! möchtest du den Traffic der aus 
> dem einen Netz kommt über die eine IP laufen lassen und den aus dem 
> anderen über die 2. Oder ist dir das egal?
>

Die Anbindung (Standleitung) an unsere Server ist die selbe (nur eben mit 
zwei IP-Bereichen), somit ist es mir egal, sofern damit keine Richtlinien 
gebrochen werden.

Die Frage lautet, können die 2.2.2.0er mit der Gateway-Adresse 2.2.2.1 über 
das Gateway 1.1.1.1 raus?

Zur Erinnerung:
Netz 1 : 1.1.1.0/29 Gateway = 1.1.1.1; Subnet: 255.255.255.248
Netz 2 : 2.2.2.0/24 Gateway = 2.2.2.1; Subnet: 255.255.255.240

>> Hinweis: alle öffentlichen IPs werden mit korrekten "Reverse DNS Namen"
>> benutzt.
>
> Okay, macht aber fürs Routing gerade nichts aus ;-)
>
> Grüße Sebastian
>

Mehr Informationen über die Mailingliste Fli4L