Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
routing Frage

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
RoiDanton



Anmeldungsdatum: 18.03.2010
Beiträge: 2

BeitragVerfasst am: 18. März 2010 11:25   Titel: routing Frage

Hi,

ich hätte da mal eine Frage zum Thema Routing.
Ich plane einen Router zu bauen der zwischen mindestens 6 Netzwerken stehen soll.
Es gibt zwei Möglichkeiten für den Router ins Internet zu gelangen.
1. Ein device steckt direkt in einem DSL Netz.
Dies device soll genutzt werden um "Gäste" ins Internet zu routen.
Die Gäste befinden sich an einem Switch der ebenfalls mit dem Router verbunden ist.
2. Es gibt ein weiteres LAN, welches aus weiteren Clients und Servern besteht. (Firmen Netzwerk)
Dieses LAN ist wiederum mit dem Internet verbunden.
Dann habe ich sg. vertrauensvolle User, die ebenfalls an einem separaten Switch hängen, der dann auch mit dem Router verbunden ist.
Die Frage ist, ob ich für jedes User Netz eine route für 0/0 auf unterschiedliche gateways routen kann.

Also die Gäste, alles was nach 0/0 geht soll an das DSL Gateway geroutet werden und für die trusted User soll alles was nach 0/0 geht an das Firmennetzwerk.
Zusätzlich befinden sich noch weitere LANs direkt an dem Router, die ebenfalls den trusted Usern zugänglich bleiben sollen.

Meine Idee war, das System ohne Default Route zu konfigurieren.
Alle routen zu bekannten Netzen entsprechend dem was erlaubt ist zu konfigurieren und als letztes für beide User Netze jeweils eine 0/0 Route die auf die verschiedenen Gateways zeigen.

Ist das machbar oder würde man das anders lösen?

Danke für Eure Hilfe!

Schönen Gruß,

Roi
 
Benutzer-Profile anzeigen Private Nachricht senden

HugoB



Anmeldungsdatum: 14.04.2010
Beiträge: 1

BeitragVerfasst am: 14. Apr 2010 21:19   Titel:

Wenn das Lan mit den Gästen physikalisch an einer eigenen NIC des Routers hängt, kannst du den Gästen ja auch als default GW die entsprechende Adresse geben.

Wenn Gäste und Firma physikalisch an einer NIC hängen, dann mußt du dir Network Access Protection anschauen. Stichwort 802.1X. Deine PCs/Drucker/etc. authentifizieren sich. Was nicht erlaubt ist, wird in ein eigenes VLan gebannt. Dadurch kannst du auch verhindern, daß private Laptops die Mitarbeiter unerlaubt ins Netz hängen Zugriff auf Firmenserver (oder sonstwohin) bekommen.

Die einfachste und billigste Art ist, die Gäste über einen eigenen Switch an einer eigenen NIC des Routers anzuschließen. Über Iptables Regeln sorgst du dafür, daß kein Forwarding zwischen den Gästen und den anderen NICs erfolgt, außer das mit dem Internet für die Gäste.
 
Benutzer-Profile anzeigen Private Nachricht senden

RoiDanton



Anmeldungsdatum: 18.03.2010
Beiträge: 2

BeitragVerfasst am: 15. Apr 2010 9:09   Titel:

HugoB hat folgendes geschrieben::
Wenn das Lan mit den Gästen physikalisch an einer eigenen NIC des Routers hängt, kannst du den Gästen ja auch als default GW die entsprechende Adresse geben.

Das wird nicht gehen. Ich kann kein GW angeben, welches nicht im Subnetz der Clients liegt.

HugoB hat folgendes geschrieben::

Wenn Gäste und Firma physikalisch an einer NIC hängen, dann mußt du dir Network Access Protection anschauen. Stichwort 802.1X. Deine PCs/Drucker/etc. authentifizieren sich. Was nicht erlaubt ist, wird in ein eigenes VLan gebannt. Dadurch kannst du auch verhindern, daß private Laptops die Mitarbeiter unerlaubt ins Netz hängen Zugriff auf Firmenserver (oder sonstwohin) bekommen.

Das werden wir hier leider nicht realisieren können.

HugoB hat folgendes geschrieben::

Die einfachste und billigste Art ist, die Gäste über einen eigenen Switch an einer eigenen NIC des Routers anzuschließen. Über Iptables Regeln sorgst du dafür, daß kein Forwarding zwischen den Gästen und den anderen NICs erfolgt, außer das mit dem Internet für die Gäste.

Das ist ja gerade das Problem.
Wenn ein Client eine Anfrage an eine beliebiges Netz stellt, wird der router das immer an sein default gw senden. Der Router kann nicht wissen hinter welchem Netz die IP sich verbirgt.
Da hinter beiden GWs das Internet liegt, wird der Router das Internet nur über sein default GW zu erreichen versuchen. Wenn ich das mit einer iptables Regel verhindere wird er leider nicht den anderen Weg nehmen.
Ich habe da was gelesen, das man mehrere routing tables einrichten kann und dann Regeln dafür einrichten kann. Ich habe es leider nicht verstanden wie ich es auf mein Problem übertragen kann Sad
 
Benutzer-Profile anzeigen Private Nachricht senden

Janka



Anmeldungsdatum: 11.02.2006
Beiträge: 3569

BeitragVerfasst am: 15. Apr 2010 19:43   Titel:

Entweder mit dem ROUTE-Target
http://www.iptables.org/documentation/HOWTO/netfilter-extensions-HOWTO-4.html#ss4.5
Oder mit dem MARK-Target und einer zusätzlichen fwmark-Regel in der Routing-Tabelle.

Janka
_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy