IP Routing als Hub mit zwei Netzwerkkarten [gelöst]

[lsmod]

Hallo,

ich habe ein Routing Problem und verstehe einfach die Zusammenhänge nicht um es zu lösen.

In meinem Server habe ich 2 Netzwerkkarten und möchte diese nun als intelligenten Ersatz für einen zusätzlichen Switch verwenden.
Zuerst einmal meine aktuelle Konfiguration in der /etc/network/interfaces:

Code: Alles auswählen

# The primary network interface 1000 MB
allow-hotplug eth0
iface eth0 inet static
        address 192.168.1.3
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255

# The secondary network interface 100 MB
allow-hotplug eth1
iface eth1 inet static
        address 192.168.1.4
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.1
        dns-nameservers 192.168.1.1
        post-up route add -net 192.168.1.0 netmask 0.0.0.0 eth0
        post-up ip route add default via 192.168.1.1 dev eth0

Mein LAN ist CAT6 und alle PC's können Gigabit-Netzwerk, also möchte ich das der Server als Fileserver auch Gigabit kann.
Daher wird dieser über eth0 mit dem zentralen Switch verbunden.
Im Keller steht neben dem Server eine Eumex IP (mit Freetz Firmware) die den Internetanschluss bereit stellt und nur 100 MBit kann - diese wird also an eth1 angeschlossen.

Der Server soll als Netzwerkkomponente nun folgende Funktionen erfüllen:

1. Er verbindet über nur ein Netzwerkkabel die Fritzbox und sich selber mit dem Switch.

2. Er setzt die 100 MBit der Fritzbox auf eine 1000 MBit Anbindung um.

3. Ich würde zusätzlich gerne erfassen wieviel Traffic zu den einzelnen Clients geht.
Dafür würde ich gerne diese Anleitung heranziehen: http://www.catonmat.net/blog/traffic-ac ... -iptables/

Ich habe in der /etc/sysctl.conf bereits

Code: Alles auswählen

net.ipv4.ip_forward=1

auskommentiert.

Wie man sehen kann habe ich schon versucht mit 2 Routing-Answeisungen das Problem erfolglos zu lösen.
Das Ergebnis ist:

Code: Alles auswählen

# route
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         eumex.ip        0.0.0.0         UG    0      0        0 eth1
localnet        *               255.255.255.0   U     0      0        0 eth0
localnet        *               255.255.255.0   U     0      0        0 eth1

Zur Zeit gibt es noch einen zusätzlichen Switch zwischen eth1, der Fritzbox und dem zentralen Switch, der alles verbindet.
Nehme ich den raus und verbinde die Fritzbox direkt mit eth1 dann kann ich noch nicht einmal mehr vom Server aus auf das Internet zugreifen.
Dabei ist doch für eth1 das Gateway gesetzt und scheinbar auch ein Routing vorhanden?

Alle Anfragen aus dem LAN an die Fritzbox (192.168.1.1) sollen zuerst einmal 1:1 von eth0 auf eth1 geroutet werden.
Der Server wird im LAN über 192.168.1.3 angesprochen.
Dies scheint erst einmal simpel zu sein, aber es ist scheinbar doch nicht so einfach zu konfigurieren.
Die Erfassung des Traffic wäre nur ein schönes zusätzliches Bonbon, da der Traffic sowieso durch den Server geleitet wird.

Kann mir jemand sagen was ich hier falsch mache?

[uname]

Dass eth0 und eth1 dasselbe Subnetz 192.168.1.0/24 nutzen geht gar nicht. Was willst du erreichen? Warum sollte der Server überhaupt dazwischengeschaltet sein. Normalerweise sollte dein Internet-Zugangs-Ding (wohl Eumex IP) ein internes Subnetz bereitstellen, wo der ganze übrige Rest gerne über einen "echten" Switch dranhängt. Wenn du das doch mit deinem Debian-Server realisieren willst musst du entweder unterschiedliche Subnetze routen oder bridgen. Generell rate ich davon ab. Es ist meist ziemlich dämlich und gibt wenig Gründe an einem Server zwei Interfaces zu betreiben.

Zeichne mal ein Bild wie es werden soll:

Code: Alles auswählen

Internet -> Eumex IP -> Subnetz mit allen internen Geräten (192.168.1.0/24)

[wanne]

2. Er setzt die 100 MBit der Fritzbox auf eine 1000 MBit Anbindung um.
[...]
Alle Anfragen aus dem LAN an die Fritzbox (192.168.1.1) sollen zuerst einmal 1:1 von eth0 auf eth1 geroutet werden.

Merkst du den Widerspruch?
Du kannst jetzt prinzipiell 2 Dinge tun:
a) 2 Subnetze und routing:

• Das 1000 MBit Netz bekommt das Subnetz 192.168.2.0/24
• Dem server gibst du auf eth0 Die Adresse 192.168.2.1 (eth1 bleibt wie es ist)
• Dann musst du der Fritzbox unter „staatische routing“ das netzwerk 192.168.2.0/24 über 192.168.1.4 eintragen.
• ggf. Willst du auf eth0 einen dhcp server laufen lassen. (Alternativ kannst du alle Rechner im 1000 MBit von hand mit statischer IP konfigurieren.

b) ein 100 MBit netzwerk.
Du verbindest eth0 und eth1 zu einer Bridge. Die bekommt dann ggf. eine IP.

[lsmod]

Es ist meist ziemlich dämlich und gibt wenig Gründe an einem Server zwei Interfaces zu betreiben.

Danke für das Kompliment!

Ich hoffte Ihr könnt lesen, denn ich habe die 3 Gründe genannt warum ich das eigentlich machen möchte.
Um diese zu verdeutlichen:

zu 1. Ich muss kein 2. Netzwerkkabel legen und benötige keinen zusätzlichen 1000 MBit Switch um die Anordnung zu realisieren.

zu 2. Siehe zu 1. Das Internet (Fritzbox) benötigt keine 1000er Anbindung, der Server als Fileserver allerdings schon.

zu 3. Das wäre eine schöne zusätzliche Spielerei die möglich sein sollte.

a) 2 Subnetze und routing:
...
[*]ggf. Willst du auf eth0 einen dhcp server laufen lassen. (Alternativ kannst du alle Rechner im 1000 MBit von hand mit statischer IP konfigurieren.

Dies ist ein Punkt den ich in der Tat nicht erläutert habe.
Ich wusste nicht das es nicht möglich sein soll zwischen 2 Netzwerkschnittstellen im gleichen Subnetz ein Routing stattfinden zu lassen.
(Obwohl zur Zeit immerhin problemlos beide Netzwerkkarten im gleichen Subnetz funktionieren und der Server darüber ansprechbar ist.)

Es ist von Vorteil beide Netzwerkkarten im gleichen Subnetz zu betreiben weil
1. Wenn der Server ausfällt oder gewartet wird kann ich die Fritzbox ohne umkonfigurieren zu müssen direkt an den Switch hängen und Internet funktioniert weiterhin.
2. Im gleichen Subnetz kann die Fritzbox auch weiterhin das DHCP übernehmen.
(Alle Rechner haben im Netz bei mir zwar statische IP's, aber hin und wieder hängt auch Mal ein kleines mobiles Endgerät dran.)

Habt Ihr nun vielleicht auch konstruktive Vorschläge - dafür wäre ich sehr dankbar.

[dufty]

Lass Dich nicht verwirren

http://wiki.debian.org/BridgeNetworkConnections

eth0 und eth1 bekommen dann eine, gemeinsame IP.

[wanne]

Subnetze waren urspringlich Ausschließlich zum routen da. Man hat physikalisch zusammenhängende Subnetze und routet dann von Subnetzt zu Subnetz.
DHCP ist ein wesentlich neueres Protokoll dass die konfiguration von solchen Subnetzen vereinfachen soll. Das kann auch über mehre Subnetze hinweg und dynamisch funktionieren. (Allerding nicht mit einem DHCP-Server.) ist aber eigentlich kein Selbstzweck.
Sprich: Wenn du Rasem mähst dann schibst du im normalfall auch den Rasenmäher über den Rasen und pflanst nicht den Rasen unter dem mäher.

[lsmod]

Danke dufty - die bridge wäre auf jeden Fall eine Lösung.
Die bridge ist mir bei der Suche auch schon untergekommen, aber ich frage mich ob dann noch die Spielerei mit dem "Traffic Accounting" möglich ist?

@wanne: Klar - der Normalfall für einen Router ist es verschiedene Subnetze zu verbinden.
Aber ich habe in dem Thema ja schon angedeutet das ich hier das Routing nur für einen Hub missbrauchen möchte.

Um das System "failsafe" zu bekommen wäre es schon praktisch im gleichen Subnetz zu bleiben.
Das scheint wohl auch generell möglich zu sein:
http://serverfault.com/questions/309628 ... ame-subnet

Gut - es wird nicht ohne Grund die "Bridge-Lösung" geben.
http://www.linuxfoundation.org/collabor ... ing/bridge

A bridge is a way to connect two Ethernet segments together in a protocol independent way. Packets are forwarded based on Ethernet address, rather than IP address (like a router). Since forwarding is done at Layer 2, all protocols can go transparently through a bridge.

Es soll hier ja eigentlich "nur" der gesamte IP-Traffic von eth0 nach eth1 geforwarded werden und umgekehrt.
Unabhängig von IP und MAC.
Eine Routing-Regel müsste nur den Traffic für 192.168.1.3 nach localhost filtern.

Ich breche mir nur generell einen ab mit der Definition der Routing-Regeln.
Was ist z.B. an meinem Versuch falsch?
Das Gateway war sogar für den Server futsch obwohl es direkt über eth1 mit dem Server verbunden war?

[uname]

Ich breche mir nur generell einen ab mit der Definition der Routing-Regeln.
Was ist z.B. an meinem Versuch falsch?

Code: Alles auswählen

localnet        *               255.255.255.0   U     0      0        0 eth0
localnet        *               255.255.255.0   U     0      0        0 eth1

Woher soll denn bei irgendeiner IP-Adresse aus dem Netz 192.168.1.0/24 das System wissen wo das Paket hingeschickt werden soll? Du must bridgen, zwei unterschiedliche Subnetze routen oder nur eine Netzwerkkarte nutzen.

http://wiki.debian.org/BridgeNetworkConnections
PS.: Nicht gelesen, nicht getestet. Wird aber besser funktionieren als deine Konfiguration.

[lsmod]

Woher soll denn bei irgendeiner IP-Adresse aus dem Netz 192.168.1.0/24 das System wissen wo das Paket hingeschickt werden soll?

Ganz einfach alles nach eth1.
Es wird nur der Traffic an die eigene IP herausgefiltert.

Ja und Du hast Recht - ich schaue mir nun erst einmal die bridge genauer an.
Aber es geht auch um die prinzipielle Frage ob dies rein durch Routing gelöst werden kann?

Eine Ahnung was der hier gezaubert hat oder auch nicht?
http://de.comp.os.unix.networking.misc. ... -und-ulogd

Hier noch eine Skizze der bisherigen Konfiguration:


Dies ist die Zielkonfiguration:

[wanne]

Um das System "failsafe" zu bekommen wäre es schon praktisch im gleichen Subnetz zu bleiben.

Nein, genau dazu sind 2 Subnetze der wesentlich bessere Ansatz.

Das scheint wohl auch generell möglich zu sein:
http://serverfault.com/questions/309628 ... ame-subnet

Das ist kaputt und funktioniert auch nur unter umständen. Es gibt da ganz lustige Effekte, die absolut nicht haben willst. Bei deinem relativ einfachen setup kann das aber sogar recht gut funktionieren. Würde dem Netz mit dem router einfach ne /30 Maske geben dann bist du sogar ganz auf der sicheren Seite. Trotzdem musst du dann nen DHCP-Server auf den Server paken. Verstehe aber absolut nicht warum du so ein dickes Problem damit hast.
Umstecken kannst du ja trotzdem.

[lsmod]

Eine Frage ist schon Mal beantwortet:

http://www.linuxfoundation.org/collabor ... _switch.3F

It is possible to use the full functionality of netfilter (iptables) in combination with bridging, which provides way more functionality than most proprietary offerings do.

Also werde ich nun als erstes Mal die Bridge ausprobieren ...

Würde dem Netz mit dem router einfach ne /30 Maske geben dann bist du sogar ganz auf der sicheren Seite. Trotzdem musst du dann nen DHCP-Server auf den Server paken. Verstehe aber absolut nicht warum du so ein dickes Problem damit hast.
Umstecken kannst du ja trotzdem.

Hast du Mal einen konkreten Vorschlag zum ausprobieren bzw. was ist der Sinn der /30 Maske?

Das Problem mit dem Umsteckproblem ist ganz einfach:
Ich habe kein Problem damit, aber wenn in meiner Abwesenheit etwas nicht funktioniert, sollte auch jemand ohne Ahnung mit ein wenig Telefonsupport es wieder ans laufen bekommen.
Dann erkläre Mal wie man in einer Fritzbox die Netzwerkadresse und DHCP umkonfiguriert.
Dann lieber eine Lösung wo es reicht einfach nur umzustecken.
Das sollte mit der Bridge ja möglich sein.

[wanne]

Umstecken und ggf. neustarten oder warten (kannst ja die lease Time auf ein paar sekunden runter stellen). Das sollte jedeer hinbekommen.
DHCP läuft dann auf dem router und dem Server.

[wanne]

Hast du Mal einen konkreten Vorschlag zum ausprobieren bzw. was ist der Sinn der /30 Maske?

naja einfach auf eth1
192.168.1.2/30
Also IP 192.168.1.2 und Netzmaske 255.255.255.252
und der router bekommt 192.168.1.1/30 (oder 192.168.1.1/24 wenn die umsteck-Lösung mit DHCP funktionieren soll. (Für die lösung sind statsiche einträge besser.) Das ist dann aber ziemlich kaputt und muss nicht funktionieren.)
Und nach rechst nismmst du dann nur IPs > 192.168.1.3
Aber bridging ist abslolut die sauberere lösung.
oder eben 2 Netze da hast du das Problem einfach gar nicht. 2 Netze 2 DHCP-Server umstecken und du bist im anderen Netz alles kein Problem genau dazu ist DHCP gedacht. Und so macht man sowas eigentlich. Neue netzwerktopologie neue IP. Und damit das schön bequem geht einfach mit DHCP verteilen.

[lsmod]

Gerade ist der 1. Bridging-Versuch gescheitert.

/etc/network/interfaces:

Code: Alles auswählen

# The loopback network interface
auto lo br0
iface lo inet loopback

# The primary network interface 1000 MB
allow-hotplug eth0
iface eth0 inet manual

# The secondary network interface 100 MB
allow-hotplug eth1
iface eth1 inet manual

# Bridge setup
iface br0 inet static
        bridge_ports eth0 eth1
        address 192.168.1.3
        broadcast 192.168.1.255
        netmask 255.255.255.0
        gateway 192.168.1.1

Gateway an eth1 war funktionslos.
Der Server nur noch über eth0 zu erreichen.
Nach Anschluss eines Netzwerkkabels hat sich eine lustige Schleife gebildet und hat einen Drucker komplett in den Disko-Modus versetzt.
Zusammen mit dem Ausfall des Internet wurde ich sofort fast gesteinigt.

Das Ergebnis sah so aus:

Code: Alles auswählen

# ifconfig
br0       Link encap:Ethernet  Hardware Adresse 00:13:d4:d2:84:32  
          inet Adresse:192.168.1.3  Bcast:192.168.1.255  Maske:255.255.255.0
          inet6-Adresse: fe80::213:d4ff:fed2:8432/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:26872731 errors:0 dropped:24 overruns:0 frame:0
          TX packets:783 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:1862721551 (1.7 GiB)  TX bytes:88252 (86.1 KiB)

eth0      Link encap:Ethernet  Hardware Adresse 00:e0:52:c8:d4:38  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:24516276 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11543978 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:2051882247 (1.9 GiB)  TX bytes:1035302577 (987.3 MiB)
          Interrupt:20 Basisadresse:0xec00 

eth1      Link encap:Ethernet  Hardware Adresse 00:13:d4:d2:84:32  
          UP BROADCAST MULTICAST  MTU:1500  Metrik:1
          RX packets:11592158 errors:3 dropped:0 overruns:0 frame:3
          TX packets:24484520 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:1086260535 (1.0 GiB)  TX bytes:1996716814 (1.8 GiB)
          Interrupt:17 Basisadresse:0xc400 

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:241 errors:0 dropped:0 overruns:0 frame:0
          TX packets:241 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:42564 (41.5 KiB)  TX bytes:42564 (41.5 KiB)


# route -nee
Kernel-IP-Routentabelle
Ziel            Gateway         Maske           Flags Metric Ref    Benutzer Iface    MSS   Fenster irtt
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 br0      0     0      0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br0      0     0      0

Also erst Mal weiter die Doku zur Bridge studieren ...
Oder sieht schon jemand den Fehler?

Vielleicht eth0 und eth1 tauschen?

Code: Alles auswählen

bridge_ports eth1 eth0

This will add the two interfaces eth0 and eth1 to bridge br0. Simple enough. There’s no distinction with how you add the bridges, or what order you do it, or any special commands you have to add to distinguish them. So don’t worry about that.

Tja - oder auch nicht.

[wanne]

Naja da klingt nach nem loop.
Fu hast sicher die Kabel auch so gesteckt wie oben beschrieben?
und nicht vileleicht so:

Code: Alles auswählen

Router<--------->[eth0]Server
  |                    [eth1]
  |                      |
  |                      |
   -------------------Switch

[lsmod]

Ja klar - das war einen Moment so.

Aber zwischendrinn war es so wie in der Ziellösung skizziert.

Warum war das Gateway nicht erreichbar?
Das gleiche Problem hatte ich ja auch schon bei meinen Routingversuchen.
Es klappt nur wenn ein weiterer Router/Switch dazwischen hängt.
Das macht doch keinen Sinn, da die Fritzbox selber doch auch ein Router ist.

[wanne]

Welches Setup, das funktionieren sollte hat jett nicht funktoniert?

[uname]

In meinem Server habe ich 2 Netzwerkkarten und möchte diese nun als intelligenten Ersatz für einen zusätzlichen Switch verwenden.

Wenn ich nun deine Bilder betrachte so würde ich folgende Aktionen durchführen:

1.) Switch an der linken Seite ausbauen
2.) Zugangs-Provider-Dingsbums direkt an den rechten Switch ankabeln
3.) aus dem Debian-Server eine Netzwerkkarte ausbauen
4.) den Debian-Server mit der übrig gebliebenen Netzwerkkarte auch an den rechten Switch ankabeln

Code: Alles auswählen

ISP <----> Router <-------> rechter Switch ----> Server
                            |----------> Client

[lsmod]

Es funktioniert nun!
Mit der zuletzt geposteten Konfiguration.

Es waren wohl noch 3 Problemchen:
1. Snort war noch nicht auf br0 umgestellt
2. Reboot tut gut.
3. Probleme mit Skype auf einem PC (ich hoffe das bridge_fd 0 das Problem löst)

Danke der Nachfrage und Danke für die Verkabelungsumstrukturierung.
Die Verkabelungsumstrukturierung wird aber nichts da dann alles am falschen Platz ist.
Dann würde ich doch lieber auf Gigabit verzichten oder einen Gigabit-Switch kaufen.
Übrigens war der linke Switch auch gleichzeitig WLAN - aber im Keller an einer ungünstigen Stelle.

Wenn ich wieder Zeit habe werde ich dann Mal das Traffic Accounting angehen.
Das wird aber nichts vor nächster Woche ...