triumvirat
Goto Top

Externes Routing bei zwei Internetanschlüssen

Hab eine Routing Frage:

Eine Firma hat ein SBS Netzwerk, 4 Arbeitsplätze. Sie vermietet jetzt einen Raum an eine andere Firma. Diese bekommt einen eigenen Internetanschluß wegen der Haftung. BEide nutzen aber den selben SBS11.

Ich habe jetzt im Netzwerk 2 Default Gateways und je nach dem zu welcher Firma der Client gehört nutzt er GWA oder GWB.

Für das SenderBasedRouting habe ich eine CentOS Maschine mit Postfix im Net die ALS GW den GWB eingetragen hat.

Somit surft jeder über seine Leitung und Mails gehen auch über die eigenen Leitungen!

Jetzt kommts:
Wenn die OWA nutzen wollen, und von extern kommen dann geht immer nur der Anschluß, den der SBS als default Gateway eingetragen hat. Was für mich ja auch logisch ist.

Jetzt habe ich überlegt, ich nutze die Linux Maschine und maskiere gegenüber dem SBS die Externen anfragen auf Port 443 so, das er denkt die Anfragen kommen aus dem LAN, die dann an die Linux Maschine beantwortet und die dann wiederum an den externen Anfrager antwortet.

Da hab ich jetzt Probleme iptables so zu konfigurieren das das geht.

Vielleicht hat jemand ja eine ganz andere Idee dafür...

Lieben Dank
Ekki

Content-ID: 298192

Url: https://administrator.de/forum/externes-routing-bei-zwei-internetanschluessen-298192.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 04.03.2016 aktualisiert um 14:25:41 Uhr
Goto Top
MOin,

Du machst einfach zwei getrennte Netzwerke, die durch einen internen Router verbunden sind. Die andere Firma kann durch diesen Router hindurch auf den SBS zugreifen und beide Firmen haben damit Zugriff auf den SBS. Du mußt dann nur noch bei den Gateways eintragen, daß das jeweils andere Netz durch den Internen Router zu erreichen ist und alles wird gut.

lks

PS. Nameserver-einträge müssen natürlich passend gesetzt werden, damit der domänenzugriff korrekt klappt.
triumvirat
triumvirat 04.03.2016 um 14:27:17 Uhr
Goto Top
Aber selbst in dieser Konstellation hätte der SBS nur einen default gw. Die Anfragen von extern kann er nicht über 2 Router beantworten.
Lochkartenstanzer
Lochkartenstanzer 04.03.2016 aktualisiert um 14:38:17 Uhr
Goto Top
Zitat von @triumvirat:

Aber selbst in dieser Konstellation hätte der SBS nur einen default gw. Die Anfragen von extern kann er nicht über 2 Router beantworten.


Laß den internen Router einfach NAT machen. dann bekommt der automatisch alle Pakete, die zum "anderen" gateway gehen sollen.
triumvirat
triumvirat 04.03.2016 um 14:37:34 Uhr
Goto Top
OK das mach ich gerne, verändert aber nichts an meinem Verständnis.

Irgendein Iphone verbindet sich jetzt extern mit Router 1 und wird per Portforwarding an den SBS geleitet, egal ob nun im selben Netz oder per interner Routingregel.

Ein anderes Iphone verbindet sich über Router 2 und wird ebenfalls an den SBS weitergeleitet.

Der SBS wird jetzt beide über seinen default gateway beantworten wollen, weil er keine Route hat für die Öffentlichen IP's der Iphones.
Nur bei einem von beiden kommt die Verbindung zu Stande, eben bei dem der als default GW auf dem SBS eingetragen ist.
Lochkartenstanzer
Lochkartenstanzer 04.03.2016 aktualisiert um 14:53:22 Uhr
Goto Top
Zitat von @triumvirat:

Der SBS wird jetzt beide über seinen default gateway beantworten wollen, weil er keine Route hat für die Öffentlichen IP's der Iphones.
Nur bei einem von beiden kommt die Verbindung zu Stande, eben bei dem der als default GW auf dem SBS eingetragen ist.


Du mußt dafür sorgen, daß die einkommenden Pakete unterscheidbar werden, entweder durch NAT schon am Gateway oder durch den internen Router.

Auch wenn der SBS nur ein default-gaeway hat, durch die Adresse in den antwortpaketen weiß das default-geway, daß er das paket dem anderen gateway/internen-Router übergeben muß un nicht ins Internet schicken darf.

lks

PS: Wirf einfach mal Wireshark/tcpdump an und verfolge die Pakete, dann sieht Du, was ich meine.


Nachtrag:

Schongelöst? Wenn nciht, mach den Haken weg, damit auch ander zu Deiner Frage finden udn sie nciht einfach übergehen.

Ansonsten: Wenn Du kein NAT machst, steht als Absender immer ursprüngliche Client drin und da kann weder das Gateway noch der SBS unterscheiden, über welches gateway das Ding reinkommt.

Dü könntest natürlich auch eine DUAL-WAN-Router mit Linux/NetBSD aufbaunen und den dann anweisen, mitzuprotokollieren, über welche Leitung ein paket für den SBS reingekommen ist und für eine gewisse Zeit (einige Minuten bis eine Stunde) eine statische Route für diesen Client eintragen. Dieser Router wäre dann das default gateway für alle Nodes in Deinem Netz.
triumvirat
triumvirat 04.03.2016 um 14:50:54 Uhr
Goto Top
Bin bei Dir !
Genau darum gehts! Ich kann auf der Fritzbox die externen Aufrufe nicht per NAT verstecken. Die einzige Möglichkeit für mich scheint die Zwischenschaltung eines weiteren Routers zu sein, mit dem ich die externen Anfragen maskieren kann, damit der SBS es als "lokale" antwort nicht an sein default GW schickt sondern an den "Zwischenrouter".

Dafür suche ich die iptables regeln.
triumvirat
triumvirat 04.03.2016 um 15:18:50 Uhr
Goto Top
Dü könntest natürlich auch eine DUAL-WAN-Router mit Linux/NetBSD aufbaunen und den dann anweisen, mitzuprotokollieren, über welche Leitung ein paket für den SBS reingekommen ist und für eine gewisse Zeit (einige Minuten bis eine Stunde) eine statische Route für diesen Client eintragen. Dieser Router wäre dann das default gateway für alle Nodes in Deinem Netz.


Yo, das ist technisch natürlich auch ne geniale Idee zumal ich dann direkt gegenseitige Ausfallszenarien habe! face-smile Trotzdem krieg ich die Regeln nicht zusammen.....Es will einfach nicht...
Lochkartenstanzer
Lochkartenstanzer 04.03.2016 um 15:22:48 Uhr
Goto Top
Zitat von @triumvirat:

Dü könntest natürlich auch eine DUAL-WAN-Router mit Linux/NetBSD aufbaunen und den dann anweisen, mitzuprotokollieren, über welche Leitung ein paket für den SBS reingekommen ist und für eine gewisse Zeit (einige Minuten bis eine Stunde) eine statische Route für diesen Client eintragen. Dieser Router wäre dann das default gateway für alle Nodes in Deinem Netz.
> 

Yo, das ist technisch natürlich auch ne geniale Idee zumal ich dann direkt gegenseitige Ausfallszenarien habe! face-smile Trotzdem krieg ich die Regeln nicht zusammen.....Es will einfach nicht...


Ein einfacher Mikrotik für 50€ den Du anstelle der Fritzbüxen hinstellst sollte es eigentlich tun. da brauchst Dur, iirc, auch gar nicht mal an den regeln zu drehen:

2 WAN-Ports fürs internet konfigurieren, EIn LAN für den SBS und zwei LANs für die jeweiligen Firmen und der Lack ist ab, wie @aqui zu sagen pflegt.

lks
117471
117471 04.03.2016 aktualisiert um 16:34:45 Uhr
Goto Top
Könnte man hier u.U. mit zwei reversen Proxy-Servern glücklich werden, die vom jeweiligen Anschluss OWA annehmen und dann intern mit dem SBS sprechen?

Edit: Wenn Du IP-basierte Hosts nutzt, wäre auch ein Server mit zwei Netzwerkkarten denkbar. Der SBS hätte dann zwar immer noch "nur" einen Kanal, auf dem die OWA-Daten fließen - dieser zeigt dann aber zum Proxy und wird von dort zum anfragenden VHost verteilt.
aqui
aqui 04.03.2016 aktualisiert um 20:47:20 Uhr
Goto Top
Besser du trennst die IP Netze mit einem kleinen Router oder besser noch Firewall dann stellt sich deine Problemchen gar nicht erst:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
oder als VLAN Lösung:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Alternative ein Dual WAN Port Balancing Router !
Der hätte sogar on top noch den Vorteil das du für beide Firmen ein Failover hast.
Dein grundlegender Fehler ist das du das Design falsch und laienhaft angegangen bist. Kollege LKS hat ja oben schon alles gesagt zu dem Thema.
triumvirat
triumvirat 07.03.2016 um 13:08:35 Uhr
Goto Top
Ich habe jetzt eine CentOS VM eingerichtet, die IPTABLES macht und gut is.

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j DNAT --to 192.168.1.100
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to 192.168.1.102

Das waren meine gesuchten Befehle.

Jetzt habe ich was ich brauche und die CentOS VM macht sogar noch den AntiSpam und AntiVirus Mailgateway.
Danke für Eure Denkanstöße!