Re: Multiroute Netzwerkinterface
Harald Oehlmann schrieb:
Am 31.08.2010 10:27, schrieb Fred Ockert: ...........
Hallo Fred, danke für die Antwort. Was du über vpn schreibst, trifft auch bei uns zu und funktioniert auch. Dies wird alles auf dem Server abgewickelt, dort ist auch das tap-Device. Auf dieser Ebene funktioniert das Routing.
Mir geht es um das routen der rohen vpn-Pakete, die ja bei mir udp:443 Pakete sind, also das, was du "geschickter Netzaufbau" nennst. nix Routen !!! das Zauberwort heisst hier Portforwarding!
RW -> dsl0:443 UDP -> 10.10.10.10:443 UDP -> 172.30.30.30:443 udp -> 192.168.17.17:443 udp Also der RW(Roadwarrior) connectet die öffentlich Addresse (443 udp) ..die Maschin leitet diesen (und nur diesen) Port auf die nächste Maschine (10. ) weiter..die leitet dann auf die nächtse Maschine(172. ) weiter ..und diese dann schlussendlich auf den VPN-Server (192....) das (weitere) Routing setzt erst bei 192.x.x.x an... Du darfst gern etwas weglassen :) ..aber du kannst auf die Art durch Firewalls hindurch..na ja..wie auch SSH usw. das Ziel muss aber von der forwardenden Maschine direkt erreichbar sein. Hier tun 2 Zugänge und der openVPN-Client sucht sich selbst den "schnellsten" ( 2 remote Einträge abarbeiten, bevor ein Retry beginnt) Das funktioniert auch, wenn die Verbindung klemmt, infolge zu viel Last...dann fliegt der Client raus und connectet neu...auf dem Gate, welches am schnellsten antwortet (wo ich annehme, dass die Last gering[er] ist ). :)
Ich baue hier einen Router nach...
Danke, Harald
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 31.08.2010 11:16, schrieb Fred Ockert:
Harald Oehlmann schrieb:
Mir geht es um das routen der rohen vpn-Pakete, die ja bei mir udp:443 Pakete sind, also das, was du "geschickter Netzaufbau" nennst. nix Routen !!! das Zauberwort heisst hier Portforwarding!
RW -> dsl0:443 UDP -> 10.10.10.10:443 UDP -> 172.30.30.30:443 udp -> 192.168.17.17:443 udp
Ja, genau das versuche ich. Deshalb habe ich ja auch in SuSE-Firewall unter Maskerading eine Portweiterleitung gesetzt. Nur gehen dann die Rückpakete aus dem falschen dsl-Kanal raus. SuSE-Firewall ist hier als Begriff etwas irreführend. Ich nutze hier die Maskerading und Port Forwarding-Funktionen der Firewall. Eigentlich setze ich genau das auf, was du beschreibst, und laut Linux Dokumentation sollte das auch so funktionieren (DNAT). Ich vermute, daß das SuSE-Firewall Port Forwarding einfach nicht für mehrere Aussenschnittstellen gemacht ist und daß es deshalb nicht geht. Danke, Harald -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Harald Oehlmann schrieb:
Am 31.08.2010 11:16, schrieb Fred Ockert:
Harald Oehlmann schrieb:
Mir geht es um das routen der rohen vpn-Pakete, die ja bei mir udp:443 Pakete sind, also das, was du "geschickter Netzaufbau" nennst. nix Routen !!! das Zauberwort heisst hier Portforwarding!
RW -> dsl0:443 UDP -> 10.10.10.10:443 UDP -> 172.30.30.30:443 udp -> 192.168.17.17:443 udp
Ja, genau das versuche ich.
Deshalb habe ich ja auch in SuSE-Firewall unter Maskerading eine Portweiterleitung gesetzt. Nur gehen dann die Rückpakete aus dem falschen dsl-Kanal raus.
SuSE-Firewall ist hier als Begriff etwas irreführend. Ich nutze hier die Maskerading und Port Forwarding-Funktionen der Firewall. Eigentlich setze ich genau das auf, was du beschreibst, und laut Linux Dokumentation sollte das auch so funktionieren (DNAT).
bitte nix NATten (ohne Not :) ) wo rennt denn der openVPN-Server ? Masquerading haben ich nirgendwo hier (nur einmal NAT nach aussen...)
Ich vermute, daß das SuSE-Firewall Port Forwarding einfach nicht für mehrere Aussenschnittstellen gemacht ist und daß es deshalb nicht geht.
doch... natürlich hat jder "Kanal" von aussen seinen eigenen Port! Wenn von innen 2 vpn-Server lauschen, dann tun sie das (von aussen gesehen) auf 2 unterschielichen Ports ...alternativ: einer udp, der zweite tcp ... wobei TCP teilweise etwas langsamer ist... Mein Gate nach aussen leitet einen Handvoll Ports auf verschiedene Maschinen weiter [VPN,ssh, smtp,http]...natürlich hat z.B. jeder Webserver (nach aussen) einen anderen Port ! ich.net:10000; ich.net:10001; ich.net:10003 usw. das wird jeweils auf intern1:80 ; intern2;80 und intern3:80 geforwardet NAT findet nur statt um alle 255 IPs nach aussen auf eine abzubilden (na ja..wie jedes Gate zum Internet eben) Nach aussen also 88.88.88.88 (eth0) innen 10.10.10.0/24 (eth1)...Beispiel-IPs . also wird 88.88.88.88:443 udp nach 10.10.10.99:1234 geforewardet ...weil dor der VPN-Server lauscht und der antwortet auch genau dahin (established ).. da geht nix zum Standardgateway... (jetzt frag mich um Gotteswillen nicht, wie man das Portforden bei SuSi einrichtet :) ich müsste jetzt auch erst nachlesen) Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Harald Oehlmann
Am 31.08.2010 11:16, schrieb Fred Ockert:
Harald Oehlmann schrieb:
Mir geht es um das routen der rohen vpn-Pakete, die ja bei mir udp:443 Pakete sind, also das, was du "geschickter Netzaufbau" nennst. nix Routen !!! das Zauberwort heisst hier Portforwarding!
RW -> dsl0:443 UDP -> 10.10.10.10:443 UDP -> 172.30.30.30:443 udp -> 192.168.17.17:443 udp
Ja, genau das versuche ich.
Deshalb habe ich ja auch in SuSE-Firewall unter Maskerading eine Portweiterleitung gesetzt. Nur gehen dann die Rückpakete aus dem falschen dsl-Kanal raus.
SuSE-Firewall ist hier als Begriff etwas irreführend. Ich nutze hier die Maskerading und Port Forwarding-Funktionen der Firewall. Eigentlich setze ich genau das auf, was du beschreibst, und laut Linux Dokumentation sollte das auch so funktionieren (DNAT).
Ich vermute, daß das SuSE-Firewall Port Forwarding einfach nicht für mehrere Aussenschnittstellen gemacht ist und daß es deshalb nicht geht.
SuSE-Firewall ruft nur iptables(8) auf. Wenn dir das Shellscript SuSE-Firewall nicht mehrere Portforwarding Regeln bietet, erweitere das Script, oder schreibe dein eigenes, die manual page zeigt einige Lösungsansätze auf. Mit iptables-save(8) kannst du dir das Regelwerk ansehen und auch in eine Datei umleiten. -Dieter -- Dieter Klünter | Systemberatung sip: 7770535@sipgate.de http://www.dpunkt.de/buecher/2104.html GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Dieter Kluenter
-
Fred Ockert
-
Harald Oehlmann