Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Portforwarding bei MultiWAN mit Gateway im selben Subnetz

Frage Linux Linux Netzwerk

Mitglied: aalbang

aalbang (Level 1) - Jetzt verbinden

12.07.2014, aktualisiert 19:02 Uhr, 1932 Aufrufe, 7 Kommentare

Ich habe einen Dedizierten Root Server mit Virtualisierung und 3 öffentlichen IP-Adressen im selbsen Subnetz und dem selben Gateway. Eine IP-Adresse wird bereits für das Management des Hypervisors benötigt und ist bei dem Problem irrelevant.

Die Firewall VM besitzt 3 Netzwerkschnittstellen: WAN1 = eth0, WAN2 = eth1, LAN1 = eth2 Die verbleibenden 2 IP Adressen sind meiner Firewall zugeteilt (WAN1,WAN2) und sollen beide mit dem selben Default Gateway (MultiWAN) genutzt werden. Durch "ip route" und "ip rule" habe ich es mittlerweile geschafft das ich beide Schnittstellen anpingen kann und direkt auf der FirewallVM verwendet werden kann. Masquerading mit funktioniert für die internen Maschinen soweit auch.

Leider funktioniert in der aktuellen Konfiguration das Portforwarding immer nur bei einem der beiden Interfaces. Beim Starten der Firewall immer die Portforwardings des Interfaces welches als erstes UP ist. Beim einem "ifdown" auf das funktioniernde Interface funktioniert, anschließend das Forwarding das anderen Interfaces.

Leider hab ich nichts gefunden wie ich das Problem lösen kann. Hab nicht wirklich Erfahrung mit iproute2. Virtuelle Interfaces kann ich leider auch nicht Verwenden, da das Gateway die richtige Absender MAC für die IP vorraussetzt.

EDIT:
Aktuell wird auch hier das Thema behandelt:
Ubuntuusers


Hier mein aktuelles Firewallstartscript:
01.
export IFWAN2=eth1 
02.
export WAN2IP=x.x.x.102 
03.
export WAN2GWIP=x.x.x.97 
04.
 
05.
export IFLAN1=eth2 
06.
export LAN1IP=192.168.x.1 
07.
 
08.
 
09.
###LAN Server IPs 
10.
export WIN2008R201=192.168.x.3 
11.
 
12.
 
13.
#######Grundlegende Konfiguration 
14.
#Module für das Connection Tracking laden 
15.
modprobe ip_conntrack_ftp 
16.
modprobe ip_nat_ftp 
17.
modprobe ip_conntrack_irc 
18.
 
19.
# default-Policies setzen, Tabellen leeren und loeschen / NAT regeln für Multiwan bleiben erhalten 
20.
iptables -P INPUT DROP 
21.
iptables -P FORWARD DROP 
22.
iptables -P OUTPUT DROP 
23.
 
24.
iptables -t nat -P PREROUTING  ACCEPT 
25.
iptables -t nat -P POSTROUTING ACCEPT 
26.
iptables -t nat -P OUTPUT      ACCEPT 
27.
 
28.
iptables -F 
29.
iptables -t nat -F 
30.
iptables -X 
31.
iptables -t nat -X 
32.
 
33.
 
34.
#Routing aktivieren 
35.
echo 1 > /proc/sys/net/ipv4/ip_forward 
36.
 
37.
#MultiWAN 
38.
ip route add default via $WAN1GWIP dev $IFWAN1 tab 1 
39.
ip route add default via $WAN2GWIP dev $IFWAN2 tab 2 
40.
ip rule add from $WAN1IP/32 tab 1 priority 500 
41.
ip rule add from $WAN2IP/32 tab 2 priority 600 
42.
ip route flush cache 
43.
 
44.
####### Allow Regeln LAN/WAN between Firewall 
45.
#Loopback Verkehr erlauben 
46.
iptables -A OUTPUT -o lo -j ACCEPT 
47.
iptables -A INPUT  -i lo -j ACCEPT 
48.
 
49.
#Erlaube ICMP Echo Requests (eingehend / ausgehend) 
50.
iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
51.
iptables -A OUTPUT -p icmp --icmp-type 0 -m state --state ESTABLISHED,RELATED -j ACCEPT 
52.
iptables -A OUTPUT -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
53.
iptables -A INPUT -p icmp --icmp-type 0 -m state --state ESTABLISHED,RELATED -j ACCEPT 
54.
 
55.
#Erlaube DNS Abfragen (ausgehend) 
56.
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
57.
iptables -A INPUT -p udp --sport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
58.
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
59.
iptables -A INPUT -p tcp --sport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
60.
 
61.
##Erlaube jeden Verkehr 
62.
#iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
63.
#iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
64.
 
65.
#Erlaube INPUT und OUTPUT für das interne Netzwerk 
66.
iptables -A OUTPUT -o $IFLAN1 -j ACCEPT 
67.
iptables -A INPUT  -i $IFLAN1 -j ACCEPT 
68.
 
69.
######## Allow Regeln LAN-to-WAN 
70.
#Erlaube LAN > WAN (Masquerading in NAT) 
71.
iptables -t nat -A POSTROUTING -o $IFWAN1 -j MASQUERADE 
72.
iptables -t nat -A POSTROUTING -o $IFWAN2 -j MASQUERADE 
73.
 
74.
#Erlaube den internen LAN Verkehr (Ansonsten geht kein Masquerading) 
75.
iptables -A FORWARD -i $IFLAN1 -j ACCEPT 
76.
iptables -A FORWARD -o $IFLAN1 -j ACCEPT 
77.
 
78.
 
79.
####### Port Forwarding WAN-to-LAN  (!!!!!!!!!!! Aktuell funktioniert immer nur das Portfowarding von einem der beiden Interfaces) 
80.
###Forward $IFWAN1 
81.
iptables -t nat -A PREROUTING  -p tcp -m tcp -d $WAN1IP --dport 80 -j DNAT --to-destination $WIN2008R201:80 
82.
iptables -A FORWARD -m state -p tcp -d $WIN2008R201 --dport 80 --state NEW,ESTABLISHED,RELATED -j ACCEPT 
83.
iptables -t nat -A POSTROUTING -p tcp -m tcp -s $WIN2008R201 --sport 80 -j SNAT --to-source $WAN1IP 
84.
 
85.
###Forward $IFWAN2  ### 
86.
iptables -t nat -A PREROUTING  -p tcp -m tcp -d $WAN2IP --dport 3389 -j DNAT --to-destination $WIN2008R201:3389 
87.
iptables -A FORWARD -m state -p tcp -d $WIN2008R201 --dport 3389 --state NEW,ESTABLISHED,RELATED -j ACCEPT 
88.
iptables -t nat -A POSTROUTING -p tcp -m tcp -s $WIN2008R201 --sport 3389 -j SNAT --to-source $WAN2IP
Mitglied: aqui
12.07.2014 um 18:04 Uhr
2 IP Adressen sind meiner Firewall zugeteilt (WAN1,WAN2) und sollen beide mit dem selben Default Gateway (MultiWAN) genutzt werden.
Was soll da der tiefere Sinn sein ??
Load Balancing wäre ja sinnfrei bei Verwendeung ein und desselben Gateways ?!

Die Kardinalsfrage die sich hier stellt ist die warum du dir das Leben so schwer machst und nicht eine fertige Firewall VM mit einem GUI benutzt wie z.B. die pfSense ??
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
(Das ist jetzt die Hardware Variante aber von der pfSense Seite kannst du ein fertiges VM Image laden !)
Da ist deine Einrichtung ein Kinderspiel und 3 Mausklicks im GUI.
Aber warum einfach machen wenn kompliziert auch geht...
Bitte warten ..
Mitglied: aalbang
12.07.2014, aktualisiert um 18:28 Uhr
pfSense und sonstige BSD basierte Firewall funktioniert nicht da die Firewall mit HyperV virtualisiert ist und diese hier leider noch nicht funktionieren.
Ich habs nämlich schon probiert.
(Bitte keine Diskusion über den HyperVisor)

Warum ich 2 Gateways brauche. Weil die beiden öffentlichen IP Adressen die ich habe, leider den selben Gateway nutzen.
Virtuelle IP auf gleichem Interface geht leider auch nicht, da der Anbieter nur die IPs zulässt zu dem die zugwiesene MAC passt.

Es handelt sich hier um einen Dedizierten Server in einem Rechenzentrum. Hier sind alle Maschinenen und Netzwerke bis auf den HyperVisor virtualisiert.
Bitte warten ..
Mitglied: aqui
12.07.2014, aktualisiert um 21:01 Uhr
mit HyperV virtualisiert ist
Igitt...wer macht denn sowas ?! Aber richtig, keine Diskussion du weisst was du tust und bekommst dann auch die FW die du verdienst.
Weil die beiden öffentlichen IP Adressen die ich habe, leider den selben Gateway nutzen.
Und was ist denn der tiefere Sinn 2 WAN Interfaces zu haben...ist ja dann irgendwie sinnfrei und könnte mal lieber mit einem LACP LAG verwenden. Da hat man dann wenigstens Redundanz und Bandbreitenerhöhung und spart eine IP !
da der Anbieter nur die IPs zulässt zu dem die zugwiesene MAC passt.
Na ja die Mac lässt sich, wie jeder weiss, in jedem OS kreativ "anpassen" ifconfig <port> hw ether <MAC_ADRESSE> und schon kannst du das für alleInterfaces pass machen.
Hier sind alle Maschinenen und Netzwerke
Netzwerke wohl kaum ! Wie sollte das auch gehen... aber keine Diskussion !
Klingt aber irgendwie nach Murks was du da machen willst...
Bitte warten ..
Mitglied: aalbang
13.07.2014, aktualisiert um 00:41 Uhr
OK. Sry falls ich ein bisschen Harsch rübergekommen bin.
Hab mich nur schon zu viel geärgert.

Es handelt sich hier übringends nur um einen einzelnen privaten dedicated Server mit 1ner Netzwerkkarte dem 3 öffentliche IPAdressen zugeteilt sind.
Jeder dieser IP-Adressen ist vom Provider ein zu verwendende MAC-Adresse zugeteilt.

Zum Thema HyperV / VMware. Ja. ich würde auch lieber VMware verwenden, allerdings unterstützt der kein Softwareraid und deswegen HyperV.
HW-Raidcontroller nur damit ich nen ESXi ausfallsicher betreiben kann wären wieder 20€ mehr im Monat gewesen.

Für LACP LAG müssten das beide Seiten unterstützten.
Außerdem geht es hier auch nicht um Bandbreite oder Redundanz, da eh nur eine wirkliche physikalische Schnittstelle zur Verfügung steht.
Es geht hier um die optimale Ausnutzung der TCP/UDP Ports die mir zur Verfügung stehen. Das Loadbalancing von Intern nach Extern ergibt
sich einfach aus der Tatsache das ich 2 Standardgateways habe.

Das ich MAC Adressen über das OS ändern kann ist mir schon klar. Die MAC Adressen passen ja auch, da ich die über den Hypervisor eh eintragen kann.
Hier ist es um den Punkt gegangen das ich nicht einfach 2 IPs an ein Interface binden kann, da ich ansonsten 2 IPs auf einer MAC Adresse hätte, was
wiederrum von meinem Provider ja leider nicht erlaubt ist (wird blockiert). Dadurch hat sich das Problem ja auch erst ergeben.

Ist aber auch egal. Ich hab mittlerweile eine Lösung für mein Problem gefunden:
forum.ubuntuusers.de/topic/portforwarding-bei-multiwan-mit-gateway-im-sel
Bitte warten ..
Mitglied: Webkamer
13.07.2014 um 10:25 Uhr
Hallo aalbang,

ich kann dir zu deinem eigentlichen Problem zwar nicht weiterhelfen, aber ich möchte darauf hinweisen, dass pfSense schon unter Hyper-V lauffähig ist.
Ich setzte pfSense schon seit einem halben Jahr virtuallisiert auf einem Hyper-V ein und das funktioniert einwandfrei. Das fertig Hyper-V Image
findest du hier: https://forum.pfsense.org/index.php/topic,56565.msg364122.html#msg364122 und ist mit wenigen klicks installiert.

Besten Gruß
webkamer
Bitte warten ..
Mitglied: brammer
14.07.2014 um 14:22 Uhr
Hallo,

dass pfSense schon unter Hyper-V lauffähig ist. Ich setzte pfSense schon seit einem halben Jahr virtuallisiert auf einem Hyper-V ein

Ich gehe mal davon aus das sich @aqui seine Aussage auf die Virtualisierung einer Firewall bezieht und nicht auf Hyper-V

Es stellt sich die Frage ob ich mit einer Virtualisierten Firewall nicht ein viel zu hohes Risiko eingehe.
Damit hast du auf einmal 3 angreifbare Systeme.
Die Firewall, repsektive das OS.
Den Hyper-V
und das Betriebssystem unter dem der Hyper-V läuft.

Und eine an sich sichere Firewall auf eine Microsft Betriebssystem zu virtualisieren ist, nun sagen wir mal Semi Optimal.

brammer
Bitte warten ..
Mitglied: aqui
15.07.2014 um 10:12 Uhr
Ich gehe mal davon aus das sich @aqui seine Aussage auf die Virtualisierung einer Firewall bezieht
Ja, richtig !
Es stellt sich die Frage ob ich mit einer Virtualisierten Firewall nicht ein viel zu hohes Risiko eingehe.
Richtig, das sieht jeder so der sich seriös mit Security beschäftigt !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Internet
Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway (3)

Erfahrungsbericht von ashnod zum Thema Internet ...

UMTS, EDGE & GPRS
gelöst PC als Gateway mit zentralem Internetanschluss via Mobilfunk (6)

Frage von donnyS73lb zum Thema UMTS, EDGE & GPRS ...

DSL, VDSL
Fritzbox Exchange 2007 UM Gateway mit Freetz (2)

Frage von Herbrich19 zum Thema DSL, VDSL ...

Firewall
gelöst Gibt es ein fertiges Web-Tunnel-Gateway? (27)

Frage von StefanKittel zum Thema Firewall ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...