Problem mit Routing (evtl. dumme Frage)

[swp]

Hallo,

ich habe ein kleines Problem mit folgender Routingfrage: Ich habe hier einen Rechner, auf dem eine Eucalyptus-Installation läuft. Der hat zwei Netzwerkkarten, die Nodes hängen an der einen (eth0) in einem privaten Subnetz, welches nicht von außen erreichbar ist. In diesem Subnetz liegen auch die IPs der gestarteten virtuellen Maschinen. Das läuft alles automatisch per DHCP. Nach außen hin lauscht der Eucalyptus-Rechner auf eth1 mit einer fixen IP-Adresse. Auf eth0 hat er auch eine feste IP.

Ich habe nun folgendes Problem: Ich möchte selektiv Zugriff auf die bestimmten IPs der VMs per Route-Befehlen freischalten. Aber ich bekomme nur den Eucalyptus-Rechner selbst.

Also:

Wenn ich auf meinem Arbeitsrechner mache (Syntax ist von BSD, da Mac OS X):

Code: Alles auswählen

sudo route add -net 192.168.250.0/24 ip-des-eucalyptus-rechners-an-eth1 255.255.255.0

(Entspricht auf Linux: sudo route add -net 192.168.250.0/24 gw ip-des-eucalyptus-rechners-an-eth1 netmask 255.255.255.0)
Dann komme ich auf 192.168.250.254, was die fixe IP der Node-Netzwerkkarte im Eucalyptusrechner ist. Versuche ich aber, auf eine Node-IP oder VM-IP draufzukommen, dann bekomme ich nur "network unreachable".

Ich habe auch schon versucht:

Code: Alles auswählen

sudo route add -host 192.168.250.254 ip-des-eucalyptus-rechners 255.255.255.0
sudo route add -net 192.168.250.0/24 192.168.250.254 255.255.255.0

Aber das geht auch nicht.

Ich komme bei dieser Routinggeschichte immer wieder durcheinander, auch durch Google werde ich nicht schlau. Ist sowas überhaupt möglich oder bleibt mir nur NAT bestimmter Ports mit iptables-Skripten?

EDIT: Auf dem Eucalyptusrechner läuft Debian Lenny, der Arbeitsrechner ist ein Mac Mini mit Snow Leopard.

[format_c]

Ich nehme an, dass 192.168.250/24 nicht in deinem Subnetz liegt. Um das entfernte Subnetz erreichen zu können musst einen Sprungpunkt (router) in deinem eigenen Subnetz haben der in der Lage ist das Paket entsprechend seiner Routing-Table weiterzuleiten. Angenommen du befindest dich in dem Subnetz 192.168.0.0/24 und deine Router / Default-Gateway (ist nicht immer das selbe) 192.168.0.1, dann müsste das route-Statement wie folgt lauten:

Code: Alles auswählen

route add -net 192.168.250.0/24 gw 192.168.0.1

Allerdings weis ich nicht ob ich mit meiner Modellannahme deinen Bedingungen entspreche (wahrscheinlich eher nicht).
Aber ich hoffe du hast das Grundproblem in deinem Ansatz verstanden.

Gruß Alex

[swp]

Danke, aber hat leider nicht geklappt.

Ich habe jetzt auf dem Eucalyptusrechner:

Code: Alles auswählen

sudo route add -net 192.168.250.0/24 gw <ip-des-externen-interfaces>

Ein "sudo route" zeigt auch als ersten Eintrag:

Code: Alles auswählen

192.168.250.0   <hostname-des-rechners> 255.255.255.0   UG    0      0        0 eth1

eth1 ist das externe IF, eth0 das interne.

Nun habe ich auf dem Mac Mini gemacht:

Code: Alles auswählen

sudo route add -net 192.168.250.0/24 <ip-des-eucalyptusrechners>

Was nun funktioniert: ping 192.168.250.254 (Die interne IP des Eucalyptusrechners)
Was nicht funktioniert: ping 192.168.250.2 (die IP einer VM). Wenn ich direkt per ssh auf den Eucalyptusrechner gehe, lässt sich die VM aber anpingen.

EDIT: Ping-Ausgabe ist wie folgt:

Code: Alles auswählen

PING 192.168.250.2 (192.168.250.2): 56 data bytes
92 bytes from <hostname-des-eucalyptusrechners> (<ip-des-eucalyptusrechners>): Redirect Host(New addr: 192.168.250.2)
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 0ff4   0 0000  3f  01 e5ea <ip-des-macmini>  192.168.250.2

Request timeout for icmp_seq 0

Und ein paarmal kommt auch "Destination host unreachable".

Habe ich da noch irgendwas übersehen? Reicht so eine "route"-Kette oder muss man da noch mit iptables-Regeln und/oder VPN arbeiten?

[roli]

Hi,

ist auf dem Eucalyptusrechner das "forwarding" aktiviert?