Über was definiert Debian den "default gateway" [Gelöst]

[jmar83]

Hallo zusammen

Ist das einfach das X mit der nirdrigsten Zahl (in Normfall 0) bei ethX...?

Danke für die Feedbacks.

[jmar83]

Falls ja: Wie ist es dann z.B. bei predicable-Namen wie enp[x]s[y] (Debian, zumindest mit VirtualBox) oder enx[letzte 6 Stellen der MAC-Adresse] (Raspbian)?

Ist es dort auch der zuerst installierte Adapter? Falls ja: Wie identifiziert man diesen bei enp[x]s[y] (soviel ich weiss die PCI[-E]-Anschluss-Nummer) oder beim enx[......]-Format mit der MAC-Adresse?

[jmar83]

Oder ist das der Adapter, bei dem im /etc/network/interfaces-File der Eintrag "gateway x.x.x.x" (bei einer stat. Konfig) steht?

Das würde wiederum heissen, dass man bei mehr als 1 Adapter alle abgesehen von einem nicht mehr mit dieser "gateway x.x.x.x"-Zeile und die anderen mit diesen 4 ´post-up ip ... ´-Zeilen versehen müsste?

[bluestar]

Oder ist das der Adapter, bei dem im /etc/network/interfaces-File der Eintrag "gateway x.x.x.x" (bei einer stat. Konfig) steht?

Ja

Das würde wiederum heissen, dass man bei mehr als 1 Adapter alle abgesehen von einem nicht mehr mit dieser "gateway x.x.x.x"-Zeile versehen dürfe und die anderen mit diesen 4 ´post-up ip ... ´-Zeilen versehen müsste?

Richtig normalerweise hast du auch immer nur einen Default-Gateway und das was du mit "post-up ip...." baust sind so genannte Netzrouten.

[jmar83]

Vielen Dank für dein Feedback!!

Dieses Beispiel hier zeigt wiederum was anderes auf: http://www.microhowto.info/howto/ensure ... eways.html


(Man findet da unterschiedlichste Sachen [wohl wegen unterschiedlichen Distris?] im Internet... vieles geht nix und es wird auch kaum beschrieben "warum", sondern nur "wie"... )

Code: Alles auswählen

auto eth0
iface eth0 inet static
  address 198.51.100.87
  netmask 255.255.255.0
  gateway 198.51.100.1
  post-up ip route add 198.51.100.0/24 dev eth0 table 1
  post-up ip route add default via 198.51.100.1 table 1
  post-up ip rule add from 198.51.100.87/32 table 1 priority 100
  post-up ip route flush cache
  pre-down ip rule del from 198.51.100.87/32 table 1 priority 100
  pre-down ip route flush table 1
  pre-down ip route flush cache

auto eth1
iface eth1 inet static
  address 203.0.113.144
  netmask 255.255.255.0
  post-up ip route add 203.0.113.0/24 dev eth0 table 2
  post-up ip route add default via 203.0.113.1 table 2
  post-up ip rule add from 203.0.113.144/32 table 2 priority 110
  post-up ip route flush cache
  pre-down ip rule del from 203.0.113.144/32 table 2 priority 110
  pre-down ip route flush table 2
  pre-down ip route flush cache

...aber die Variante, welche ich schon oft gesehen habe ist nur so:

Code: Alles auswählen

auto eth0
iface eth0 inet static
  address 198.51.100.87
  netmask 255.255.255.0
  gateway 198.51.100.1
  
auto eth1
iface eth1 inet static
  address 203.0.113.144
  netmask 255.255.255.0
  post-up ip route add 203.0.113.0/24 dev eth0 table 2
  post-up ip route add default via 203.0.113.1 table 2
  post-up ip rule add from 203.0.113.144/32 table 2 priority 110
  post-up ip route flush cache
  pre-down ip rule del from 203.0.113.144/32 table 2 priority 110
  pre-down ip route flush table 2
  pre-down ip route flush cache

Auch schon gesehen habe ich sowas:

Code: Alles auswählen

auto eth0
iface eth0 inet static
  address 198.51.100.87
  netmask 255.255.255.0
  gateway 198.51.100.1
  post-up ip route add 198.51.100.0/24 dev eth0 table 1
  post-up ip route add default via 198.51.100.1 table 1
  post-up ip rule add from 198.51.100.87/32 table 1 priority 100
  post-up ip route flush cache
  pre-down ip rule del from 198.51.100.87/32 table 1 priority 100
  pre-down ip route flush table 1
  pre-down ip route flush cache

auto eth1
iface eth1 inet static
  address 203.0.113.144
  netmask 255.255.255.0
  gateway 203.0.113.1
  post-up ip route add 203.0.113.0/24 dev eth0 table 2
  post-up ip route add default via 203.0.113.1 table 2
  post-up ip rule add from 203.0.113.144/32 table 2 priority 110
  post-up ip route flush cache
  pre-down ip rule del from 203.0.113.144/32 table 2 priority 110
  pre-down ip route flush table 2
  pre-down ip route flush cache

ODer so, aber damit geht dann nur 1 Adapter für eingehende Verbindungen (bei 2 versch. Subnetzen)

Code: Alles auswählen

auto eth0
iface eth0 inet static
  address 198.51.100.87
  netmask 255.255.255.0
  gateway 198.51.100.1
  

auto eth1
iface eth1 inet static
  address 203.0.113.144
  netmask 255.255.255.0
  gateway 203.0.113.1

Ist das OK, falls man damit keinen Server betreibt (nur 1 ip wird empfänglich für eingehende Pakete sein) oder verstösst dies generell Gegen die "Konventionen" ?

[jmar83]

"...aber die Variante, welche ich schon oft gesehen habe ist nur so"

Oder so:

Code: Alles auswählen

auto eth0
iface eth0 inet static
  address 198.51.100.87
  netmask 255.255.255.0
  gateway 198.51.100.1
  
auto eth1
iface eth1 inet static
  address 203.0.113.144
  netmask 255.255.255.0
  gateway 203.0.113.1
  post-up ip route add 203.0.113.0/24 dev eth0 table 2
  post-up ip route add default via 203.0.113.1 table 2
  post-up ip rule add from 203.0.113.144/32 table 2 priority 110
  post-up ip route flush cache
  pre-down ip rule del from 203.0.113.144/32 table 2 priority 110
  pre-down ip route flush table 2
  pre-down ip route flush cache

Oder auch sowas, wo auch 2x "ip rule" drin steht, aber nicht mit "del" (=delete?)

Code: Alles auswählen

post-up ip route add 192.168.80.0/24 dev eth1 src 192.168.80.251 table rt3
post-up ip route add default via 192.168.80.1 dev eth1 table rt3
post-up ip rule add from 192.168.80.251/32 table rt3
post-up ip rule add to 192.168.80.251/32 table rt3

Dass es bei der metrik um ausgehende Verbindungen geht (z.b. Wenn man am Rechner mit mehreren Netzwerkverbindungen den Browser startet) sollte stimmen? Bezieht sich also nicht auf Eingehende? Die Metrik hat demzufolge keinen Einfluss darauf, ob es mit einer eingehenden Verbindung klappt oder nicht?

-> Und dann gibt es noch die Tipps, mann solle unter /etc/systemctl.conf irgendwelche ARP-Parameter ändern... dann sind wir schon auf "Layer 2" (?) soviel ich weiss, also nicht mal mehr beim IP-Protokoll...

Das ganze ist einfach nur der reinste Horror, hatte vor ca. 3 Jahren das erste mal damit zu tun und habe mich seither noch ca. 4-5x daran gewagt. Aber ganz ehrlich muss ich sagen, dass ich (in etwa) noch immer NULL Durchblick habe was das Thema betrifft...

Das Thema ist ein absoluter Albtraum... WIESO ZUM TEUFEL kann Linux bei eingehenden Verbindungen nicht einfach über den Gateway/Adapter wie Pakete rausgehen lassen wie sie regekommen sind? (Und bei Ausgehenden definiert man die Metrik, wenn man will, sonst hat man wohl "LAN" vor WLAN" mit gleicher/automatischer Metrik?)

[bluestar]

Also um mal hier einzugreifen ... Du vermischst hier deine Default-Gateway Frage mit der Frage nach Source Based Routing. Vielleicht wäre es hilfreich, wenn du mal beschreiben könntest/würdest was du machen möchtest, dann können wir deine Fragen sicherlich besser beantworten.

Zu deinen Beispielen, also wenn ich mit Source-based Routing arbeite oder generell komplexere Routing-Baustellen habe, dann verwende ich in der Default-Routing Table gar keinen Default-Gateway - also auch keinen "gateway x.x.x.x" Eintrag, sondern nutze die Routing-Tabelle namens "default" für das Default-Routing.

Dann werden folgende Zeilen bei post-up ausgeführt:

Code: Alles auswählen

ip rule add from all lookup main priority 999
ip rule add from all fwmark 0x10000/0xff0000 lookup vodafone priority 10014
ip rule add from all fwmark 0x20000/0xff0000 lookup telekom priority 10019
ip rule add from all fwmark 0x30000/0xff0000 lookup wireguard priority 10024
ip rule add from all to 109.237.176.33 lookup telekom priority 11000 
ip rule add from a.b.c.d lookup vodafone priority 20000 
ip rule add from 192.168.8.2 lookup telekom priority 20000
ip rule add from 10.0.0.3 lookup wireguard priority 20000
ip rule add from a.b.0.0/16 lookup vodafone priority 27000
ip rule add from all lookup default priority 32767
ip route add default via 1.1.2.3 dev br-wan-1 table default
ip route add default via 1.1.2.3 dev br-wan-2 table vodafone
ip route add default via 7.5.6.9 dev br-wan-3 table telekom

Die Routing-Tabellen default und vodafone sind im Normalbetrieb gleich und wenn Vodafone ausfällt, dann tauscht ein Script in der default-Routing Tabelle das Default-Gateway aus und verwendet das Telekom-Gateway.

[jmar83]

Vielen Dank für dein Feedback. Ein Rechner unter Debian 11 (VM) mit 2 Netzwerkkarten eth0 sowie eth1.

An einem ist eine öffentliche IP (Standleitung ohne DHCP), an der anderen ist ein 192.168er-Subnetz.

Was mir noch in den Sinn kommt, evtl. fängt das Problem bei mi schon hier an (?): Wie soll ich die Kabel stecken? Auf eth0 das Öffentliche oder das Private? Gibt es Vorteile oder Nachteile wenn man die öffentliche oder private IP auf eth0 hat? (Oder ist es völlig egal, was denn nun auf ethX ist?)

- Der Rechner hat eine 192.168er-Subnetz, weil er noch mit einem anderen Rechner kommunizieren muss. (Und der hat nur 1 Adapter im 192.168er-Subnetz)

- Auf der öffentlichen IP wird eine Webseite laufen.


Im Prinzip ein "Hello World"-Beispiel... ("Hello World #2" wären dann wohl 2 [oder mehr] öffentliche IPs von versch. Providern für "DNS Round Robin" oder "Mirror"-Domains)

[jmar83]

"Auf eth0 das Öffentliche oder das Private? Gibt es Vorteile oder Nachteile wenn man die öffentliche oder private IP auf eth0 hat? (Oder ist es völlig egal, was denn nun auf ethX ist?)"

Bei der Installation bevorzuge ich, (rein hardware-mässig, abgesehen vom IP-Subnetz) generell den ersten Eintrag "eth0" in der Liste zu wählen...

UND: Beide Netze haben eine 24er-CIDR, das 192.168er-Subnetz, wie auch die Standleitung. (demzufolge [...]/24 in den Routing-Instruktionen)

[bluestar]

Vielen Dank für dein Feedback. Ein Rechner unter Debian 11 (VM) mit 2 Netzwerkkarten eth0 sowie eth1.

An einem ist eine öffentliche IP (Standleitung ohne DHCP), an der anderen ist ein 192.168er-Subnetz.

Also eigentlich ein recht einfaches Konstrukut.

Was mir noch in den Sinn kommt, evtl. fängt das Problem bei mi schon hier an (?): Wie soll ich die Kabel stecken? Auf eth0 das Öffentliche oder das Private? Gibt es Vorteile oder Nachteile wenn man die öffentliche oder private IP auf eth0 hat? (Oder ist es völlig egal, was denn nun auf ethX ist?)

Ich abstrahiere hier direkt bereits und lege für jedes Netz eine Bridge an, in deinem Falle würde ich br-lan und br-wan-1 anlegen, die IP Konfiguration auf der Bridge machen und eth0 bzw. eth1 einfach in die Bridges reinpacken und hast später auch Vorteile, z.B. wenn mal VLANs ins Spiel kommen.

Generell brauchst du für dein privates Netz keinen Gateway und der Default-Gateway kommt auf dein WAN Interface.

[jmar83]

Vielen Dank, werde morgen wohl ein wenig weiter testen!!

Code: Alles auswählen

  post-up ip rule add from [IP]/32 table x

VS.

Code: Alles auswählen

post-up ip rule add from [IP]/32 table x
post-up ip rule add to [IP]/32 table x

Man sieht da Beispiele mit und ohne "add to"-post up-IP-Regel... ich für meinen Teil habe nur noch im Kopf (also ich das erste Mal auf das Thema gestossen bin), dass es 4 Regeln braucht, also 2x "post-up ip route" und 2x "post-up ip rule"...

kurzfristig hatte ich mal die Situation, dass eingehende Verbindungen gingen, ausgehende aber nicht mehr - betr. "from" und "to"..?? (kann aber auch sein dass der DNS irgendwie ausgehebelt wurde, der steht aber nicht pro Verbindung , sondern ca. 7-fach (2x Google, 5x Hurricane Electric) unter /etc/resolv.conf )

[bluestar]

Ich würde dir einfach mal das https://tldp.org/HOWTO/Adv-Routing-HOWTO/ empfehlen.

[jmar83]

thx!!

[jmar83]

Hallo zusammen

Noch ne Frage: Wenn KEIN EINZIGER "gateway x.x.x.x"-Eintrag in der Datei /etc/network/interfaces drin ist , sondern alle "ethX"-Einträge mit "post up ip ... " versehen sind, warum klappt dann die Verbindung von "innen nach aussen" wie z.B. ping google.com oder ping 8.8.8.8 nicht mehr? Während aber Maschine von aussen her pingbar bleibt...?

Zuerst dachte ich es liegt an der Namensauflösung, weil etwa 192.168.70.1 in /etc/resolv.conf stand... dann hab ich es auf 8.8.8.8 sowie 8.8.4.4 gewechselt, trotzdem ging nix von innen nach aussen....

MUSS also zwangsläfig IMMER ein (1) "gateway x.x.x.x"-Eintrag drin sein, und zwar GENAU (!!) einer - nicht weniger (es sei denn man will kein subnetz nutzen) und auch KEINESFALLS mehr. Denn dann hätte man ja mehrere "default gateways", was nicht geht!!

Vielen Dank für die Feedbacks.

[jmar83]

Ja, jetzt geht das pingen von "innen nach aussen" wieder. Warum ist dem so?

Warum ist ein "gateway x.x.x.x"-Eintrag quasi "besser" als all die "post up ip ... "-rules??

[bluestar]

Noch ne Frage: Wenn KEIN EINZIGER "gateway x.x.x.x"-Eintrag in der Datei /etc/network/interfaces drin ist , sondern alle "ethX"-Einträge mit "post up ip ... " versehen sind, warum klappt dann die Verbindung von "innen nach aussen" wie z.B. ping google.com oder ping 8.8.8.8 nicht mehr?

Woher soll dein Rechner denn bitte wissen, wie er die IP Adresse 8.8.8.8 erreichen soll? Das Default-Gateway bekommt alle IP-Pakete weitergereicht für die keinerlei Routing-Eintrag in der Routing-Tabelle vorhanden ist.

MUSS also zwangsläfig IMMER ein (1) "gateway x.x.x.x"-Eintrag drin sein, und zwar GENAU (!!) einer - nicht weniger ... und auch KEINESFALLS mehr.

Richtig genau ein und nur Default-Gateway wohin der Rechner alle IP-Pakete weiterleiten soll.

[jmar83]

THX!!

[bluestar]

Ja, jetzt geht das pingen von "innen nach aussen" wieder. Warum ist dem so?

Warum ist ein "gateway x.x.x.x"-Eintrag quasi "besser" als all die "post up ip ... "-rules??

Nicht "besser" sondern generisch/der Standard, die Gateway Zeile erzeugt "einen Eintrag main in der Routing Tabelle", in 99% der Fälle reicht diese Funktionalität aus, es ist keine Routing-Komplexität von Nöten.

Mit den Post-Up Regeln betrittst du den Bereich des "Komplexen Routings" mit mehreren Routing-Tabellen gleichzeitig und einem vorgeschalteten Regelwerk (die Post-Up Regeln ip rule) welche Routing-Tabelle letztendlich für das Paket verwendet werden soll.

[jmar83]

"Nicht "besser" sondern generisch/der Standard, die Gateway Zeile erzeugt "einen Eintrag main in der Routing Tabelle", in 99% der Fälle reicht diese Funktionalität aus, es ist keine Routing-Komplexität von Nöten."

Oder eben bei mehreren eingehenden Verbindungen aus untersch. Subnetzen...

[bluestar]

Oder eben bei mehreren eingehenden Verbindungen aus untersch. Subnetzen...

Nein du kannst ohne komplexe Routing-Regeln problemlos mit mehreren Subnetzen über unterschiedliche Interfaces verbunden sein.

Es ist wirklich nur relevant, wenn du zwei(oder weitere) Interfaces hast, die das gleiche Zielnetz beinhalten, z.B. zwei Interfaces zum Internet und keine Chance mit den Providern BGP zu sprechen.

[jmar83]

Also wenn ich für verschiedene Adapter in versch. Subnetzen überall den Eintrag mit IP/Subnetzmaske sowie "Gateway ... " reinschreibe, dann geht das Ganze nicht wirklich.

Bei den Adaptern ( bei der Installation: ethX, ethY, ethZ) verwende ich bei der Installation den Adapter, welcher später als "default Gateway" fungieren soll. Das richtige Kabel / Subnetz auf eth0 stecken, dann die stat. IP eingeben (Standleitung mit 24er-CIDR) und das Linux-Setup trägt das dann unter /etc/network/interfaces ein. Während ethY und ethZ unkonfiguriert bleiben, uns sich später mit ´ip link´ ermitteln lassen und anschliessend in /etc/network/interfaces einzutragen.

ABER: Bei allen weiteren Adaptern, abgesehen vom während dem Setup installierten "default"-Gateway-ethX [eth0]-Adapter, welcher m.E. als EINZIGER (!!) einen "Gateway x.x.x.x"-Eintrag aufweisen darf, müssen dann jeweils 4 Einträge konfiguriert werden. ("post up ip rule ... " - oder nur 2? Man sieht aber auch Beispiele mit 2 zusätzlichen Zeilen mit IP_Adresse/32 als Parameter?)

Alle eth-Adapter mit "gateway x.x.x.x" für AUSGEHENDE Verbindungen ist wohl aber kein Problem, wenn man manuelle Kontrolle darüber gewinnen will, so setzt man einfach die Metrik. (Genauso wie bei Window$, bei meiner Workstation habe ich auch 5 versch. Subnetze verbinden, 3x LAN und 2x WLAN, das macht AUSGEHEND nicht die geringsten Probleme. Window$ bevorzuge bei automatischer Metrik soviel ich weiss jeweils "LAN vor WLAN"...(?))

Aber EINHEGEND wird mit "normal" gesetztem Gateway (ob nun DHCP oder statisch) bei beiden Systemen nichts... da bin ich mir gegen 100% sicher. Da geht weder ping (ICMP) noch TCP (telnet x.x.x.x PORT_NR)

[bluestar]

Also wenn ich für verschiedene Adapter in versch. Subnetzen überall den Eintrag mit IP/Subnetzmaske sowie "Gateway ... " reinschreibe, dann geht das Ganze nicht wirklich.

Richtig, weil du ja schon verstanden hast, das es nur einen Default-Gateway geben kann.

müssen dann jeweils 4 Einträge konfiguriert werden. ("post up ip rule ... " - oder nur 2? Man sieht aber auch Beispiele mit 2 zusätzlichen Zeilen mit IP_Adresse/32 als Parameter?)

Es müssen mehrere Änderungen am Routing durchgeführt werden und zwar immer nur Regeln (ip rule add) die den Filter from IP nutzen und die entsprechenden zusätzlichen Routing Tabellen angelegt werden.

Anmerkung: Eine Regel mit dem Filter to IP und die IP auf einem Interface konfiguriert ist macht keinerlei Sinn. Für ein lokales Paket findet ja keinerlei Routing statt.

[jmar83]

Ja, scheinbar funktioniert es auch ohne die in einigen Beispielen gezeigten "post up ip rule ... EIGENE_IP_ADRESSE/32 ... "-Routing-Regeln. (Habe das Beispiel leider gerade nicht zur Hand...)

Vielen Dank & eines schönes (Rest)Wochenende!

[jmar83]

Jetzt hab ich wieder ne Situation, wo ich nicht mehr weiterkomme ohne die Zeilen 3+4 bei den ´post-up ip rule ... ´-Zeilen in /etc/network/interfaces...

Code: Alles auswählen

post-up ip rule add from 192.168.80.251/32 table rt3
post-up ip rule add to 192.168.80.251/32 table rt3

[bluestar]

Jetzt hab ich wieder ne Situation, wo ich nicht mehr weiterkomme ohne die Zeilen 3+4 bei den ´post-up ip rule ... ´-Zeilen in /etc/network/interfaces...

Code: Alles auswählen

post-up ip rule add from 192.168.80.251/32 table rt3
post-up ip rule add to 192.168.80.251/32 table rt3

Poste mal den Output von ip route und von ip rule vielleicht kann man es dir dann erklären.