Traffic der über ein bestimmtes interface hereinkommt soll auch darüber wieder raus

[Cretain]

Hallo mal wieder.

Ich habe ein Problem. Die Beschreibung klingt sehr einfach, aber anders als ich vermutet habe scheint die Lösung nicht so einfach zu sein.

Ich möchte das alles was über ein bestimmtes Interface "reinkommt" auch wieder darüber(oder eine bestimmte andere IP) rausgeht, also nicht über das sonstige default-gateway.

Das muss doch irgendwie möglich sein, oder irre ich mich da?

 

[hades]

Das funktioniert mir NAT und redirections...
Welches Betriebssystem benutzt du?

 

[Cretain]

Betriebssystem ist Solaris9 auf einem SunFire Server.

Mit NAT hab ich schon herumprobiert, aber bisher ohne Erfolg. Redirections kenne ich jetzt so garnicht bisher.

 

[hades]

Hast du bisher irgendwelche Routingtools laufen? PF oder so?
Wie soll denn dein Routinglayout aussehen? Kannst du das ein bisschen beschreiben?

 

[Cretain]

Nein, bestimmte Routingtools laufen nicht. Der Prozess für RIP läuft zwar, wird aber soweit ich weiss nicht weiter benutzt. Das läuft bisher alles über satic routing, bzw. das routing-table.

Naja und das Layout sollte am besten so bleiben wie es bisher ist, ich möchte halt nur Traffic der eventuell über das eine Interface hereinkommt auch wieder über das rausschicken, statt das default gateway dafür zu benutzen.


Man muss dazu sagen das ich noch ein ziemlicher Solaris Neuling bin, ich arbeite nun seit nem halben Jahr an diesem Server und als ich angefangen habe wusste ich rein garnichts von Solaris. Inzwischen läuft da eine Firewall, ein Proxy und ein VPN-Gateway drauf und es läuft auch allles ganz gut.

Dieses Interface was ich nun zusätzlich angeschlossen habe hängt an einem kleinen router wie ich ihn zuhause auch habe (speedport mit fester Internet IP). das ganze ist dafür da das sich VPN-Benutzer auch noch verbinden können wenn die Hauptinternet Leitung mal ausfällt(was leider ab und zu vorkommt).

 

[hades]

Inzwischen läuft da eine Firewall, ein Proxy und ein VPN-Gateway drauf und es läuft auch allles ganz gut.

Nachdem eine Firewall laeuft sollte wohl auch die Moeglichkeit bestehen dort NAT- und rdr-Regeln einzubringen.
Wie dieses Ruleset dann genau auszusehen hat, haengt von der verwendeten Firewallsoftware und deinem Natzwerkaufbau ab.

Zum Beispiel bei PF:
"nat on $if1 from $if2 -> $if1:0"
"rdr on $if2 inet proto tcp from any to any port $ports -> $zielhost"

Ohne dein aktuelles und gewuenschtes Layout zu kennen, kann ich dir hier nicht weiterhelfen...

 

[Cretain]

Ja NAT benutzen wir schon, die Firewallsoftware ist Sunscreen(ist ja bei Solaris9 dabei)

Ich weiss jetzt nicht ganz genau was du mit layout meinst. Die interfaces, was über welches läuft und wie das netz aufgebaut ist oder was?

 

[hades]

Ja ich habe die Interfaces gemeint ueber die das laufen soll.
Mit Routing unter Sunscreen habe ich bisher noch nicht soviel Erfahrungen da meine Firewall momentan auf einer Maschine mit OpenBSD laeuft...
Vielleicht wuerde es ja schon genuegen die NAT-Regeln im bestehenden Ruleset etwas zu veraendern?

 

[Cretain]

Also was die Interfaces angeht:

- bge0 mit einer festen IP, hängt am grossen Telekomrouter und ist Hauptzugang zum Internet
- bge1 mit Ip aus dem Firmennetzwerk, die IP die die Mitarbeiter auch als Proxy z.B. eintragen
- bge2 hängt an einem Speedport welcher das Backup sein soll, wenn hierrüber etwas reinkommt(wird nur VPN sein aber spielt jakeine Rolle) soll es auch darüber wieder rausgehn


Mit NAT bei sunscreen habe ich schon rumprobiert, aber auch mit NAT kenne ich mich nicht soo gut aus.


Ich habe inzwischen aber eine einigermaßen brauchbare Lösung gefunden. Da es bei dem VPN-Backup hauptsächlich nur für einen bestimmten Client wichtig ist (eine Nebenstelle des Betriebs) und dieser ebenfalls eine feste IP hat, habe ich mir selbst geholfen.

Ich habe ein script erstellt welches mit einem ping auf einen dns server im Inet prüft ob die Hauptverbindung aktiv ist und den status in eine datei zwischenspeichert. Im script wird dann weiter dieser status überprüft und wenn er negativ ist wird eine route ins routingtable hinzugefügt die aussagt das alles was an die feste IP der nebenstelle gehen soll über bge2, also das backupinterface geschickt wird.
Das script wird vom cronjob jede minute ausgeführt(kürzer geht da ja leider nicht anscheinend) und wenn das Internet wieder da ist wird die route wieder rausgelöscht.
Das war das erste script das ich jemals geschrieben hab, aber es funktioniert sogar

rm /usr/VPNkeepalive/status ;

ping 217.237.151.225 >> /usr/VPNkeepalive/status ;

A=`/usr/bin/cat /usr/VPNkeepalive/status |grep alive` ;

B='217.237.151.225 is alive' ;

C=`/usr/bin/cat /usr/VPNkeepalive/route `;

D=1;

if [ "$A" = "$B" ] ; then

if [ "$C" = "$D" ] ; then
route delete xxx.xxx.xxx.xxx 192.168.2.1 >/dev/null;
rm /usr/VPNkeepalive/route ;
echo 0 >> /usr/VPNkeepalive/route ;
fi
else
if [ "$C" != "$D" ] ; then
route add xxx.xxx.xxx.xxx 192.168.2.1 >/dev/null ;
rm /usr/VPNkeepalive/route ;
echo 1 >> /usr/VPNkeepalive/route ;
fi
fi

jemand der sich mit scripts und programmieren auskennt wird wahrscheinlich lachen wenn er das liest aber es funktioniert und das ist die hauptsache