10
Routing: zwei NICS im selben Netz auf einem Server
Hallo Liebe Administratoren!
Ich habe hier ein Problem, welches ich selber nicht gelöst bekomme, da meine Erfahrungen mit Routing einfach zu lange her und zu gering sind.
Einmal vorweg die Situation, warum ich das Problem habe.
Es soll eine Software getestet werden für die Mail Verschlüsselung. Diese Software unterscheidet eingehende und ausgehende Mails anhand der NIC(IP) auf welcher die Mail angenommen worden ist.
Wir senden nun aber die Mails egal ob ein oder ausgehend immer von der selben IP wir können aber anhand unseres Regelwerkes dort bestimmen ob die Mails an die eine oder die andere IP gehen sollen. Und entgegen nehmen kann diese Software aber nur auf einer IP.
Somit habe ich 2 Server welche für den test im selben Netz stehen 11.0.0.0/27
Testgateway:
enp0s3 11.0.0.20
enp4s4 11.0.0.26
Routingtabelle auf dem Testgateway sieht so aus:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 11.0.0.1 0.0.0.0 UG 0 0 0 enp0s3
11.0.0.0 0.0.0.0 255.255.255.224 U 0 0 0 enp0s3
11.0.0.0 0.0.0.0 255.255.255.224 U 0 0 0 enp4s4
Und das vorhandene Gateway
11.0.0.27
Jetzt ist es so das ich von der ersten NIC auch das vorhandene Gateway erreichen kann, aber nicht vom zweiten Gateway.
Und hier kommt nun die frage, kann mir jemand hier helfen eine Lösung zu finden, bzw. mir sagen welche Routing regeln hier benötigt werden, damit die Verbindung von und zu beiden Nic's funktionieren kann?
MFG Sascha
Ich habe hier ein Problem, welches ich selber nicht gelöst bekomme, da meine Erfahrungen mit Routing einfach zu lange her und zu gering sind.
Einmal vorweg die Situation, warum ich das Problem habe.
Es soll eine Software getestet werden für die Mail Verschlüsselung. Diese Software unterscheidet eingehende und ausgehende Mails anhand der NIC(IP) auf welcher die Mail angenommen worden ist.
Wir senden nun aber die Mails egal ob ein oder ausgehend immer von der selben IP wir können aber anhand unseres Regelwerkes dort bestimmen ob die Mails an die eine oder die andere IP gehen sollen. Und entgegen nehmen kann diese Software aber nur auf einer IP.
Somit habe ich 2 Server welche für den test im selben Netz stehen 11.0.0.0/27
Testgateway:
enp0s3 11.0.0.20
enp4s4 11.0.0.26
Routingtabelle auf dem Testgateway sieht so aus:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 11.0.0.1 0.0.0.0 UG 0 0 0 enp0s3
11.0.0.0 0.0.0.0 255.255.255.224 U 0 0 0 enp0s3
11.0.0.0 0.0.0.0 255.255.255.224 U 0 0 0 enp4s4
Und das vorhandene Gateway
11.0.0.27
Jetzt ist es so das ich von der ersten NIC auch das vorhandene Gateway erreichen kann, aber nicht vom zweiten Gateway.
Und hier kommt nun die frage, kann mir jemand hier helfen eine Lösung zu finden, bzw. mir sagen welche Routing regeln hier benötigt werden, damit die Verbindung von und zu beiden Nic's funktionieren kann?
MFG Sascha
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670624
Url: https://administrator.de/forum/routing-zwei-nics-im-selben-netz-auf-einem-server-670624.html
Ausgedruckt am: 31.03.2025 um 12:03 Uhr
10 Kommentare
Neuester Kommentar
Nur OT nebenbei zur Info...
Das von dir verwendete Netzwerk gehört offiziell dem US Department of Defense.
NetRange: 11.0.0.0 - 11.255.255.255
CIDR: 11.0.0.0/8
NetName: DODIIS
Organization: DoD Network Information Center (DNIC)
RegDate: 1984-01-19
Das ist schon fast nichtmal mehr fahrlässig solche IP Netze zu verwenden in einem Test und ganz besonders in einem Mailtest. Administratoren und gute Fachinformatiker wissen das dafür der RFC1918 und RFC 6598 bzw. ULA Adressen fc00::/7 bei IPv6, sofern man gleich mit Dual Stack testen will, gedacht ist.
https://de.wikipedia.org/wiki/Private_IP-Adresse
Zurück zum Thema...
Lesenswert zu der Thematik:
https://networkop.co.uk/post/2023-09-linux-src/
Das von dir verwendete Netzwerk gehört offiziell dem US Department of Defense.
NetRange: 11.0.0.0 - 11.255.255.255
CIDR: 11.0.0.0/8
NetName: DODIIS
Organization: DoD Network Information Center (DNIC)
RegDate: 1984-01-19
Das ist schon fast nichtmal mehr fahrlässig solche IP Netze zu verwenden in einem Test und ganz besonders in einem Mailtest. Administratoren und gute Fachinformatiker wissen das dafür der RFC1918 und RFC 6598 bzw. ULA Adressen fc00::/7 bei IPv6, sofern man gleich mit Dual Stack testen will, gedacht ist.
https://de.wikipedia.org/wiki/Private_IP-Adresse
Zurück zum Thema...
Lesenswert zu der Thematik:
https://networkop.co.uk/post/2023-09-linux-src/
3
Moin,
so funktioniert das nicht! Der Rechner ist 2mal im gleichen Netz und nimmt somit auch nur 1 NIC für die Kommunikation. Der Aufbau so funktioniert nicht. Wenn du im IP-Bereich bleiben willst, dann müsstest du die Subnet Maske anpassen. Woher soll sonst der Rechner wissen, das Paket A an NIC1 und Paket B an NIC2 rausgehen soll?
Bei der Software würde ich generell gerade vermuten, das Sie die Quell-IP der E-Mail meint. Sprich kommt diese aus dem internen Netz oder von Extern. So arbeitet zumindest ein Mailgateway
LG
so funktioniert das nicht! Der Rechner ist 2mal im gleichen Netz und nimmt somit auch nur 1 NIC für die Kommunikation. Der Aufbau so funktioniert nicht. Wenn du im IP-Bereich bleiben willst, dann müsstest du die Subnet Maske anpassen. Woher soll sonst der Rechner wissen, das Paket A an NIC1 und Paket B an NIC2 rausgehen soll?
Bei der Software würde ich generell gerade vermuten, das Sie die Quell-IP der E-Mail meint. Sprich kommt diese aus dem internen Netz oder von Extern. So arbeitet zumindest ein Mailgateway
LG
1Zitat von @aqui:
Nur OT nebenbei zur Info...
Das von dir verwendete Netzwerk gehört offiziell dem US Department of Defense.
NetRange: 11.0.0.0 - 11.255.255.255
CIDR: 11.0.0.0/8
NetName: DODIIS
Organization: DoD Network Information Center (DNIC)
RegDate: 1984-01-19
Das ist schon fast nichtmal mehr fahrlässig solche IP Netze zu verwenden in einem Test und ganz besonders in einem Mailtest. Administratoren und Fachinformatiker wissen das dafür der RFC1918 und RFC 6598 bzw. ULA Adressen bei IPv6, sofern man gleich mit Dual Stack testen will, gedacht ist.
https://de.wikipedia.org/wiki/Private_IP-Adresse
Nur OT nebenbei zur Info...
Das von dir verwendete Netzwerk gehört offiziell dem US Department of Defense.
NetRange: 11.0.0.0 - 11.255.255.255
CIDR: 11.0.0.0/8
NetName: DODIIS
Organization: DoD Network Information Center (DNIC)
RegDate: 1984-01-19
Das ist schon fast nichtmal mehr fahrlässig solche IP Netze zu verwenden in einem Test und ganz besonders in einem Mailtest. Administratoren und Fachinformatiker wissen das dafür der RFC1918 und RFC 6598 bzw. ULA Adressen bei IPv6, sofern man gleich mit Dual Stack testen will, gedacht ist.
https://de.wikipedia.org/wiki/Private_IP-Adresse
TO hat nicht gesagt wo er arbeitet ^^
1
Zitat von @mreini:
Moin,
so funktioniert das nicht! Der Rechner ist 2mal im gleichen Netz und nimmt somit auch nur 1 NIC für die Kommunikation. Der Aufbau so funktioniert nicht.
Moin,
so funktioniert das nicht! Der Rechner ist 2mal im gleichen Netz und nimmt somit auch nur 1 NIC für die Kommunikation. Der Aufbau so funktioniert nicht.
Das kann so funktionieren, wenn Deine Software dafür sorgt, daß die Pakete auf dem richtigen Interface rausgehen.
Wenn du im IP-Bereich bleiben willst, dann müsstest du die Subnet Maske anpassen. Woher soll sonst der Rechner wissen, das Paket A an NIC1 und Paket B an NIC2 rausgehen soll?
filterregeln, z.B. mit ipfilter, iptables, netfilter, ipchains, tc.
Bei der Software würde ich generell gerade vermuten, das Sie die Quell-IP der E-Mail meint. Sprich kommt diese aus dem internen Netz oder von Extern. So arbeitet zumindest ein Mailgateway
Man kann als Listener schon angeben, an welchem Interface und port man lauscht. Und beim öffnen von sockets wird auch bestimmt, welche IP-Adresse und damit auch Interface benutzt wird.
lks
PS: habe ich auch schon dutzendfach benutzt, sogar mit mehreren IP-Adressen auf einem einzigen Interface, Funktioniert und man braucht auch kein explizites Routing, wenn man wirklich im gleichen netz ist. Warfür die Konsolidierung von Diensten notwendig, bei denen die Clients auf der jeweiligen Ip-Adresse bestanden haben, statt über Namen/DNS zu gehen. War halt legacy-Software und wäre zu umständlich gewesen, mehrere Dutzend Clients umzustellen.
PPS: Wenn es nicht funktioniert, hängt es nicht daran, daß man das routing anpassen müßte (außer man hat an den Routingtabellen schon rumgespielt). Ich würde da einfach mal eine wireshark oder tcpdump anwerfen und schauen, was auf den interfaces passiert.
1
sogar mit mehreren IP-Adressen auf einem einzigen Interface
Das wäre auch mein nächster Gedanke gewesen und auf jeden Fall sauberer als eine zweite NIC für eine zweite IP-Adresse im selben Netz zu nutzen.
Nein, das ist keinesfalls sauberer sondern zu mindestens für IPv4 hochgradig unsauber!!
Der TCP/IP Standard sieht sowas nicht vor und damit ist das nicht Standard konform! Ist auch verständlich, denn das ICMP Steuerprotokoll wird ausschliesslich nur über die primäre IP abgewickelt. Doppelte IP werden also nicht vom ICMP supportet. Das Routing an so einer rennt NIC immer über die CPU und hat somit massiven Einfluß auf die Performance. Außer diesem gravierenden Problem gibt es noch weitere.
Damit kommst du also vom Regen in die Traufe. Solche IP Basics sollte man eigentlich als Administrator aber auch kennen. 🧐
Vom TO kommt ja keinerlei Feedback zur Thematik.
Sehr wahrscheinlich hat er eh schon das Interesse an einer zielführenden Lösung verloren...
Wie kann ich einen Beitrag als gelöst markieren?
Der TCP/IP Standard sieht sowas nicht vor und damit ist das nicht Standard konform! Ist auch verständlich, denn das ICMP Steuerprotokoll wird ausschliesslich nur über die primäre IP abgewickelt. Doppelte IP werden also nicht vom ICMP supportet. Das Routing an so einer rennt NIC immer über die CPU und hat somit massiven Einfluß auf die Performance. Außer diesem gravierenden Problem gibt es noch weitere.
Damit kommst du also vom Regen in die Traufe. Solche IP Basics sollte man eigentlich als Administrator aber auch kennen. 🧐
Vom TO kommt ja keinerlei Feedback zur Thematik.
Sehr wahrscheinlich hat er eh schon das Interesse an einer zielführenden Lösung verloren...Wie kann ich einen Beitrag als gelöst markieren?
Zitat von @Lochkartenstanzer:
Das kann so funktionieren, wenn Deine Software dafür sorgt, daß die Pakete auf dem richtigen Interface rausgehen.
Mag ja sein aber sauber ist dies nicht. Außerdem hat der TO nach dem Routing gefragt nicht nach der Software 
PS: habe ich auch schon dutzendfach benutzt, sogar mit mehreren IP-Adressen auf einem einzigen Interface, Funktioniert und man braucht auch kein explizites Routing, wenn man wirklich im gleichen netz ist. Warfür die Konsolidierung von Diensten notwendig, bei denen die Clients auf der jeweiligen Ip-Adresse bestanden haben, statt über Namen/DNS zu gehen. War halt legacy-Software und wäre zu umständlich gewesen, mehrere Dutzend Clients umzustellen.
Elegant auch nicht gerade, aber funktioniert so besser. Wobei ich darin rein Netzwerktechnisch nicht den Sinn darin sehe. Wir haben ein Mailgateway das arbeitet mit 1 IP-Adresse und die erkennt die Art der E-Mail an der Sender IP. Daher meine Frage warum wird dies so gemacht?1Zitat von @mreini:
Zitat von @Lochkartenstanzer:
Das kann so funktionieren, wenn Deine Software dafür sorgt, daß die Pakete auf dem richtigen Interface rausgehen.
Mag ja sein aber sauber ist dies nicht. Außerdem hat der TO nach dem Routing gefragt nicht nach der Software PS: habe ich auch schon dutzendfach benutzt, sogar mit mehreren IP-Adressen auf einem einzigen Interface, Funktioniert und man braucht auch kein explizites Routing, wenn man wirklich im gleichen netz ist. Warfür die Konsolidierung von Diensten notwendig, bei denen die Clients auf der jeweiligen Ip-Adresse bestanden haben, statt über Namen/DNS zu gehen. War halt legacy-Software und wäre zu umständlich gewesen, mehrere Dutzend Clients umzustellen.
Elegant auch nicht gerade, aber funktioniert so besser. Wobei ich darin rein Netzwerktechnisch nicht den Sinn darin sehe. Wir haben ein Mailgateway das arbeitet mit 1 IP-Adresse und die erkennt die Art der E-Mail an der Sender IP. Daher meine Frage warum wird dies so gemacht?Ich persönlich habe das nicht für mailgateways gemacht, sondern für " legacy-Software."
Bei Mailgateways kann es aber unterschiedliche Gründe geben, wie z.B. daß die MTA -Software oder der Admin das nicht kann.
Knausrigkeit mit Zeit oder Geld oder gar beidem ist manchmal auch ein Grund, daß q&d machen zu müssen. lks
1
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
