Re: Routing 2 Internetleitungen

From: Bernd Walter <ticso(at)cicely8.cicely.de>
Date: Wed, 6 Nov 2002 16:36:50 +0100



On Wed, Nov 06, 2002 at 04:11:50PM +0100, Patrick Zerbin wrote:


> 


> 


> > -----Original Message-----


> > From: Bernd Walter [mailto:ticso(at)cicely8.cicely.de] 


> > Sent: Wednesday, November 06, 2002 3:13 PM


> > To: Patrick Zerbin


> > Cc: de-bsd-questions(at)DE.FreeBSD.ORG


> > Subject: Re: Routing 2 Internetleitungen


> > 


> > 


> > On Wed, Nov 06, 2002 at 01:33:46PM +0100, Patrick Zerbin wrote:


> > > Hallo,


> > > 


> > > folgendes kleines Diagramm zur Veranschaulichung:


> > > 


> > > (Inet Leitung 1)   (Inet Leitung2)


> > >        |                  |


> > >     Router1            Router2


> > >   (20.1.12.1)        (10.10.12.1)


> > >        |                  |


> > >        |                  |


> > >        |--   Gateway    --|


> > >                 |


> > >                 |


> > >           20.1.12.0/24


> > >           10.10.12.0/24      


> > >                 |


> > >                 |


> > >      Internes Netz mit diversen 


> > >          Rechnern und IPs


> > > 


> > > Zwei Leitungen mit jeweils einem Router und je einem 


> > > Class-C Netz.


> > 


> > Die Klassenunterteilung ist schon seit Jahren aufgehoben.


> > 10.x und 20.x hätten eh in den Class-A Bereich gehört.


> > Die einzigen Offiziellen IPs, die ich sehe sind die 20.x und sind


> > der Computer Sciences Corporation zugeordnet.


> > Bist du absolut sicher, das die Angaben hier Sinnvoll sind?


> > Ich jedenfalls habe ernorme Problem nachzuvollziehen, was hier


> > Offiziell und was nicht ist.


> > Die 20.x Addressen sind jedenfalls mit Sicherheit ein


> > Konfigurationsfehler, solange ihr nichts mit Computer Sciences


> > Corporation zu tun habt.


> 


> Tschuldige .. aber die IPs waren exemplarisch gemeint.


> Ich wollte nicht die echten IPs hinschreiben. Das sind ganz


> officielle nach RIPE aber ebend 2 verschiedene Netze.


> 


> > Das funktioniert eh so nicht, weil du IPs aus dem gleichen


> > Netz auf unterschiedliche Interfaces gelegt hast.


> 


> Deswegen die /24 ich moechte z.b. 62.132.163.0/24 und


> 192.168.10.0/24 routen. Ist das jetzt klarer? (tschuldige


> falls das vorher nicht so rüber kam)



Mit den neuen Beispielen wird das jetzt nicht wirklich logischer.


Aber OK - Ihr habt 2 /24 vom Ripe.



> > > Als Gateway soll ein FreeBSD 4.7-p0 mit 3 Netzwerkkarten


> > > fungieren. Router1 ist an dc1 - Router2 ist an dc2 und das interne 


> > > Netz ist an fxp0 angeschlossen. Zugriff auf die beiden 


> > > externen Router haben wir nicht, da vom ISP gestellt.


> > > 


> > > dc1, dc2 und fxp0 sollten nach Möglichkeit keine IP's aus


> > > den 2 Class-C Netzen haben. Auf den Clients soll das Gateway


> > > nicht eingetragen werden müssen. Sourcerouting ist zwingend


> > > notwendig, da interne Rechner auch IPs aus beiden Netzen haben


> > 


> > Routing ohne Gateway widerspricht sich.


> 


> Nein nicht unbedingt. Es soll sozusagen ein Transparentes, also


> für die Clients unsichtbares Routing statt finden. Die Clients


> sind in einer DMZ und brauchen echte IPs.



Irgendein Gateway wirst du den Clients schon mitteilen müssen,


ansonsten hast du ein »no route to host« für alles und das wars.


Wenn du bridgest ist das halt eine der IPs von den Anbindungsroutern.


Das eine Maschine in einer DMZ zwingend eine offizielle IP braucht


ist eher die Ausnahme.


Ich verstehe nicht, was für ein Problem mit der Konstellation gelöst


werden soll.


Wenn du offizielle IPs in die DMZ legen willst, was nutzt dir dann das


Drummherum mit der zweiten Anbindung?


Und warum macht Ihr das nicht so, wie jeder normale Mensch, der seinen


IP Pool über mehrere Anbindungen connectieren will per BGP?



> > > könnten. Ein Routing zwischen den beiden Routern direkt soll


> > > nicht möglich sein.


> > 


> > Das kannst du z.B. per ipfw filtern.


> > Routing selber handelt immer nur nach der Zieladdresse.


> 


> Ja stimmt .. es sei denn Sourcerouting ist von nöten. Und das hab ich


> ja geschrieben. Nicht sehr sachdienlich aber: eine linux kiste hier tut


> genau das .. nur die will (muss) ich eben ersetzen ...



Routing ist aber nun mal nicht transparent.


Der Client muss schon wissen, ob er ein Packet zu einem Ziel, oder zu


einem Gateway schickt.


Wenn eine Linux Kiste dein Problem löst, dann verschweigst du uns


wesentliche Informationen zum Verständniss.


Z.B. wie sieht die derzeitige Routingtabelle und Interfaceconfiguration


auf den Clients aus.


Bitte mit schlüssigen IPs, wenn du uns die tatsächlichen schon nicht


nenn willst.



> > > Wie bringe ich das meinem FreeBSD bei? Probiert haben wir schon


> > > Bridgeing - scheiterte da ein Device nur einmal verwendet werden


> > > kann. Ein 'normales' Routing hab ich leider nicht zum laufen 


> > 


> > Bridging kann sehr wohl mehr als einmal auf das gleiche device gehen.


> > Sogar auf VLAN Interfaces, wenns sein muss.


> > Ich kann nur nicht verstehen, was das mit der Problemstellung zu tun


> > hat.


> 


> Das hatte ich probiert. Leider klappte es bei mir nicht. Hast du


> vielleicht nen paar Zeilen wie ich das machen müsste ? Nur


> so exemplarisch .. wäre sehr nett.



/usr/share/examples/netgraph/ether.bridge



> > > gebracht :(. Wir haben auch die jeweiligen MAC-Adressen der Router


> > > eingetragen, leider auch ohne Erfolg.


> > > Wir probierten (unteranderem):


> > > 


> > >  # sysctl net.inet.ip.forwarding=1 


> > >  # sysctl net.link.ether.inet.proxyall=1


> > >  # route add -net 10.10.12.0/24 -interface fxp0 -proxy


> > >  # route add -host 10.10.12.1 -interface dc2 -proxy


> > >  # arp -S 10.10.12.1 00:00:XX:XX:F3:E4 pub


> > > 


> > > Hinweise wie (ob) das zu realisieren ist werden dankbar entgegen


> > > genommen. Wir drehen uns hier leider ein wenig im Kreis und meinen


> > > irgendwas übersehen zu haben.


> > 


> > Ihr müsst euch darüber im klaren sein, das Routing nur funktionieren


> > kann, wenn die Anbindungsrouter auch den Rückweg kennen.


> > Wenn Ihr das nicht wollt, dann müsst Ihr bridgen, aber dann legt


> > Ïhr die Netze zusammen - exact das gleiche, was auch ein 0/8/15


> > Ethernet HUB/Switch gemacht hätte.


> > Die einzige Möglichkeit das transparent für die Anbindungsrouter


> > auf ein anderen LAN zu routen wäre NAT auf dem FreeBSD.


> > Da ich vermute, das die Anbindungsrouter bereits NAT machen hättet


> > ihr dann ein mehrstufiges NAT.


> 


> Die zwei router wissen natürlich was zu routen ist. Die kennen ja unser


> netz. NAT scheidet aus. Die IPs waren als reines Beispiel gedacht ...



Deine Beispiel IPs sagen eindeutig das Gegenteil!


Wenn du eine IP aus eine direkt am Anbindungsrouter angebundenen Netz


an einem nicht direkt angebundenen Netz verwendest, dann wird der


Anbindungsrouter die eben nicht routen - wozu auch er ist ja vermeint-


lich direct connected.



-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 06 Nov 2002 - 16:46:34 CET













search this site