routing Frage

Post Reply
Message
Author
RoiDanton
Posts: 2
Joined: 18. Mar 2010 11:10

routing Frage

#1 Post by RoiDanton »

Hi,

ich hätte da mal eine Frage zum Thema Routing.
Ich plane einen Router zu bauen der zwischen mindestens 6 Netzwerken stehen soll.
Es gibt zwei Möglichkeiten für den Router ins Internet zu gelangen.
1. Ein device steckt direkt in einem DSL Netz.
Dies device soll genutzt werden um "Gäste" ins Internet zu routen.
Die Gäste befinden sich an einem Switch der ebenfalls mit dem Router verbunden ist.
2. Es gibt ein weiteres LAN, welches aus weiteren Clients und Servern besteht. (Firmen Netzwerk)
Dieses LAN ist wiederum mit dem Internet verbunden.
Dann habe ich sg. vertrauensvolle User, die ebenfalls an einem separaten Switch hängen, der dann auch mit dem Router verbunden ist.
Die Frage ist, ob ich für jedes User Netz eine route für 0/0 auf unterschiedliche gateways routen kann.

Also die Gäste, alles was nach 0/0 geht soll an das DSL Gateway geroutet werden und für die trusted User soll alles was nach 0/0 geht an das Firmennetzwerk.
Zusätzlich befinden sich noch weitere LANs direkt an dem Router, die ebenfalls den trusted Usern zugänglich bleiben sollen.

Meine Idee war, das System ohne Default Route zu konfigurieren.
Alle routen zu bekannten Netzen entsprechend dem was erlaubt ist zu konfigurieren und als letztes für beide User Netze jeweils eine 0/0 Route die auf die verschiedenen Gateways zeigen.

Ist das machbar oder würde man das anders lösen?

Danke für Eure Hilfe!

Schönen Gruß,

Roi

HugoB
Posts: 1
Joined: 14. Apr 2010 21:11

#2 Post by HugoB »

Wenn das Lan mit den Gästen physikalisch an einer eigenen NIC des Routers hängt, kannst du den Gästen ja auch als default GW die entsprechende Adresse geben.

Wenn Gäste und Firma physikalisch an einer NIC hängen, dann mußt du dir Network Access Protection anschauen. Stichwort 802.1X. Deine PCs/Drucker/etc. authentifizieren sich. Was nicht erlaubt ist, wird in ein eigenes VLan gebannt. Dadurch kannst du auch verhindern, daß private Laptops die Mitarbeiter unerlaubt ins Netz hängen Zugriff auf Firmenserver (oder sonstwohin) bekommen.

Die einfachste und billigste Art ist, die Gäste über einen eigenen Switch an einer eigenen NIC des Routers anzuschließen. Über Iptables Regeln sorgst du dafür, daß kein Forwarding zwischen den Gästen und den anderen NICs erfolgt, außer das mit dem Internet für die Gäste.

RoiDanton
Posts: 2
Joined: 18. Mar 2010 11:10

#3 Post by RoiDanton »

HugoB wrote:Wenn das Lan mit den Gästen physikalisch an einer eigenen NIC des Routers hängt, kannst du den Gästen ja auch als default GW die entsprechende Adresse geben.
Das wird nicht gehen. Ich kann kein GW angeben, welches nicht im Subnetz der Clients liegt.
HugoB wrote: Wenn Gäste und Firma physikalisch an einer NIC hängen, dann mußt du dir Network Access Protection anschauen. Stichwort 802.1X. Deine PCs/Drucker/etc. authentifizieren sich. Was nicht erlaubt ist, wird in ein eigenes VLan gebannt. Dadurch kannst du auch verhindern, daß private Laptops die Mitarbeiter unerlaubt ins Netz hängen Zugriff auf Firmenserver (oder sonstwohin) bekommen.
Das werden wir hier leider nicht realisieren können.
HugoB wrote: Die einfachste und billigste Art ist, die Gäste über einen eigenen Switch an einer eigenen NIC des Routers anzuschließen. Über Iptables Regeln sorgst du dafür, daß kein Forwarding zwischen den Gästen und den anderen NICs erfolgt, außer das mit dem Internet für die Gäste.
Das ist ja gerade das Problem.
Wenn ein Client eine Anfrage an eine beliebiges Netz stellt, wird der router das immer an sein default gw senden. Der Router kann nicht wissen hinter welchem Netz die IP sich verbirgt.
Da hinter beiden GWs das Internet liegt, wird der Router das Internet nur über sein default GW zu erreichen versuchen. Wenn ich das mit einer iptables Regel verhindere wird er leider nicht den anderen Weg nehmen.
Ich habe da was gelesen, das man mehrere routing tables einrichten kann und dann Regeln dafür einrichten kann. Ich habe es leider nicht verstanden wie ich es auf mein Problem übertragen kann :(

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#4 Post by Janka »

Entweder mit dem ROUTE-Target
http://www.iptables.org/documentation/H ... html#ss4.5
Oder mit dem MARK-Target und einer zusätzlichen fwmark-Regel in der Routing-Tabelle.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

Post Reply