Debian als Router, Das Routing macht mich verrückt

[dmant]

Hallo,

ich betreibe in meinem lokalen Netzwerk einen Server der die gesamten Aufgaben des Routers übernimmt.

ics-dhcp-server sorgt für das nötige DHCP für die Clients

bind9 fungiert als DNS Server

Das Netzwerk ist wie folgt:

Das Modem hat die IP 10.10.0.40

Der Server hat zwei Karten, eth0 und eth1.
Eth0 = 10.10.0.1 (10.10.0.40 als Gateway)
Eth1 = 10.10.0.2

Ein Client der verbindet bekommt eine IP im Bereich von .5X - .1XX zugewiesen, als DNS 10.10.0.1 sowie 10.10.0.2 und als Gateway die 10.10.0.1

Das passt alles soweit.

Nach einem

iptables -t nat -s 10.10.0.0/24 -o eth0 -j MASQUERADE

Haben die Clients dann auch Internetzugriff (ip4 Forward auf 1)

Soweit so gut.

Nun habe ich aber noch tun0 (10.8.0.6) und tun1(10.9.0.6)

Dies sind zwei VPN Server.

Wie kriege ich den Traffic nun über die VPNs?

Wenn ich bei den VPN Servern ein push "redirect-gateway def1" mache und dann mittels IP Tables ein MASQUERADE auf das tun anstatt auf das eth dann wird der Traffic über den vpn geroutet.

Mache ich das nun bei beiden vpn Servern klappt das ganze trotzdem nur mit tun0

Habe ich jetzt jedoch nur eine normale vpn Verbindung (ohne das Push) und Versuche jetzt mittels Route die Pakete zu Routen... Crasht mir alles...

Route add default gw 10.8.0.6 Dev tun0 bewirkt, das ein Ping endlos leer bleibt.. iwann kommt dann nen Connect Fehler..

Lösche ich die Route und mache das mit
Route add default gw 10.10.0.40 Dev eth0

Geht wieder alles

Ich verstehe das ganze nicht....

Wie kriege ich es hin das ich sagen kann... Jetzt leite les durch vpn1...und jetzt durch vpn2 .... Ist es aber der Magenta Receiver (Magenta TV) Route nicht über den vpn wegen dem IPTV..

Wie macht man das?

[Hendri]

Hey,
ja VPN routing loest Stellenweise schon auch Knoten in Gehirnwindungen aus...

Wenn ich Dich richtig verstanden habe, hast Du einen Router fuer Dein LAN und dort sollen zwei VPN Tunnel terminieren.
Je nach Subnet Mask Deiner Interfaces, scheint mir das erste Problem in den Ranges zu liegen, die Du intern / extern (Modem) hin nutzt! Die duerfen nicht im selben Subnet sein!

Eth0 = 10.10.0.1 (10.10.0.40 als Gateway)
Eth1 = 10.10.0.2

[dmant]

Also eth0 und eth1 sind meine lan Interfaces...

Bei mir ist das Netzwerk aber nicht 192.168.x.x sondern 10.10.0.x

Tun0 (10.8.0.x) und tun1 (10.9.0.x) sind meine zwei VPN Server

[Hendri]

OK, ja kann man machen, zwei Interfaces im selben Subnet mit zwei Adressen, ich bevorzuge allerdings die zusammen zu fassen in einem multi Link Trunk...
Dann bitte ein

Code: Alles auswählen

ip r

und

Code: Alles auswählen

ip a

um ein Bild zu bekommen...

[dmant]

Ok, gerne

Also

hier mal die interfaces

Code: Alles auswählen

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
      address 10.10.0.1
      netmask 255.255.255.0
      gateway 10.10.0.40
      broadcast 10.10.0.255

auto eth1
iface eth1 inet static
      address 10.10.0.2
      netmask 255.255.255.0
      broadcast 10.10.0.255

#### OHNE VPN ####
dann hier das ip r

Code: Alles auswählen

default via 10.10.0.40 dev eth0 onlink 
10.10.0.0/24 dev eth1 proto kernel scope link src 10.10.0.2 
10.10.0.0/24 dev eth0 proto kernel scope link src 10.10.0.1 
169.254.0.0/16 dev eth0 scope link metric 1000

ip a

Code: Alles auswählen

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:e0:72:54:11:81 brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.1/24 brd 10.10.0.255 scope global eth0
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 90:1b:0e:3e:d2:bf brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.2/24 brd 10.10.0.255 scope global eth1
       valid_lft forever preferred_lft forever

#### MIT VPN ####

ip r

Code: Alles auswählen

default via 10.10.0.40 dev eth0 onlink 
10.8.0.0/24 via 10.8.0.5 dev tun0 
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6 
10.9.0.0/24 via 10.9.0.5 dev tun1 
10.9.0.5 dev tun1 proto kernel scope link src 10.9.0.6 
10.10.0.0/24 dev eth1 proto kernel scope link src 10.10.0.2 
10.10.0.0/24 dev eth0 proto kernel scope link src 10.10.0.1 
169.254.0.0/16 dev eth0 scope link metric 1000

ip a

Code: Alles auswählen

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:e0:72:54:11:81 brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.1/24 brd 10.10.0.255 scope global eth0
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 90:1b:0e:3e:d2:bf brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.2/24 brd 10.10.0.255 scope global eth1
       valid_lft forever preferred_lft forever
40: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
       valid_lft forever preferred_lft forever
41: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.9.0.6 peer 10.9.0.5/32 scope global tun1
       valid_lft forever preferred_lft forever

Also ich hoffe das mit der verkabelung ist klar....

Fritzbox hat die IP 10.10.0.40 (DHCP usw AUS) von dort zwei Kabel zum Server (eth0 und eth1, mit den IPs .1 und .2)

Dort hängt ein Switch und ein WLAN Accesspoint zwischen...

Der Server macht DHCP, DNS, Gateway etc. Und dieser soll nur entscheiden, was über das inet direkt und was über welchen VPN geht.

[dmant]

Der optimalste Fall wäre folgender....

Leite jeglichen Traffic bis auf Magenta, Netflix und Co durch die VPNs.

Und die VPNs als LoadBalancing.. Also.. mal der, mal der

[DeletedUserReAsG]

Wär’ mal schön, wenn Crossposts auch angegeben würden. Ansonsten wirkt’s respektlos.

Einer wäre hier: https://www.mikrocontroller.net/topic/536907

[heisenberg]

default via 10.10.0.40 dev eth0 onlink

Das ist dann also kein Modem, sondern ein weiterer Router. Das ist ein Unterschied, der bei Deinem Aufbau problematisch ist.

Dass dieser Router im gleichen Netz ist, wie Dein Linux-Router, kann Probleme bereiten. Stichwort: ICMP Route-Redirect.

Ich empfehle den Router in ein separates IP-Netz zu packen. Die Verkabelung kann dabei zur Not auch gleich bleiben. Ich empfehle den Router aber trotzdem per Direktverbindung an eth0 anschliessen. Denn so hast Du auf dem Linuxrouter die Kontrolle über den Traffic. Bei fehlender Netztrennung kann der Linuxrouter umgangen werden.

[dmant]

Wenn ich das richtig verstanden habe

Fritzbox z.b. auf aaa.aaa.aaa.aaa an eth0

Dann eth1 auf bbb.bbb.bbb.bbb

Ein Kabel zwischen eth0 und Fritzbox..

WLAN repeater und lan Switch an eth1

Clients an repeater und Switch und somit kommen sie keineswegs ohne den Server an die Fritzbox,

Richtig?

[heisenberg]

Wenn ich das richtig verstanden habe

Fritzbox z.b. auf aaa.aaa.aaa.aaa an eth0

Dann eth1 auf bbb.bbb.bbb.bbb

Ein Kabel zwischen eth0 und Fritzbox..

WLAN repeater und lan Switch an eth1

Clients an repeater und Switch und somit kommen sie keineswegs ohne den Server an die Fritzbox,

Richtig?

Ja. Und das WLAN der Fritzbox natürlich nicht verwenden.

[Jans4]

Meine Fresse...gibt es Anforderungen....der Wahnsinn.