[Discuss] connection tracking? Problem!
Alexander Stadler
(spam-protected)
Fr Mär 30 15:03:59 CEST 2007
Hallo!
Ich habe da ein Problem mit dem Routing, bei dem ich nicht ganz weiß wie
die optimale Lösung aussieht.
Mein Hauptrouter (pgm22wlomni.funkfeuer.at) hat neben einem Uplink zum
Internet mit öffentlicher IP noch den 0xFF Tunnel nach Wien.
Im Normalfall verwendet der Router dann als Verbindung zum Internet die
default-Route über den WAN Port.
Versucht aber jemand den Router über die Adresse
pgm22wlomni.funkfeuer.at zu erreichen, kommt er über den Tunnel vom
sandwich.funkfeuer.at zu mir.
Mein Router muß dann auch zurück über den Tunnel zum Sandwich (wegen/mit
seiner Funkfeuer IP) antworten. (Seitdem der Router direkt mit dem WAN
Port auf meinem Internet-Router hängt funktioniert das auch automatisch.
Und/oder wegen den installierten conntrack Paketen.. .)
Jedenfalls hängt nun seit einiger Zeit ein weiter Funkfeuer Router per
Tunnel an meinem.
Das Problem ist nun, das jeglicher Verkehr von diesem über meine WAN
default-Route ins Internet geht.
Wenn dieser (frh75omni.funkfeuer.at) also vom Internet aus gepingt wird,
geht es zum Sandwich, von dort zu meinem router pgm22wlomni und dann zu
frh75omni.funkfeuer.at. Von frh75omni zurück zu mir und dann anscheinend
fälschlicherweise über meine WAN-Route raus, und nicht über den Tunnel
zum Sandwich.
Woran liegt das, bzw. wie kann ich das Problem umgehen/lösen?
Es sollte wie bei Anfragen an meinen Router sein, dass er die selbe
Route zurück verwendet. (Und nur die direkten Anfragen ans Internet
hinaus, ohne vorangehender eingehender Verbindung sollen direkt raus.)
folgendes hilft evtl.:
(frh75omni->internet über tunnel)
ist wohl okay: (spam-protected):~# ip route get 87.106.22.78 from
193.238.159.113 oif tap1
87.106.22.78 from 193.238.159.113 dev tap1
cache mtu 1500 advmss 1460
warum dev vlan1 als Ausgang wenn oif tap0 explizit angegeben wird?:
(193.238.159.113 ist der (noch per vpn) verbundene frh75omni, dessen
Pakete sollen hier über den Tunnel tap1 hinaus).
(spam-protected):/etc# ip route get 87.106.22.78 from 193.238.159.113 iif
tap1 oif tap0
87.106.22.78 from 193.238.159.113 via 85.126.197.233 dev vlan1 src
193.238.159.173
cache mtu 1500 advmss 1460 iif tap1
und so sieht das aus, wenn das Paket von meinem Router kommt
(193.238.158.61), und das sollte meiner Meinung nach auch für die
193.238.159.113 so sein.
(spam-protected):/etc# ip route get 87.106.22.78 from 193.238.158.61 oif
tap0
87.106.22.78 from 193.238.158.61 dev tap0
cache mtu 1500 advmss 1460
Es kann natürlich auch sein das die Firewall etwas vermurxt. Leider sind
mir (noch) nicht recht viele Befehle zum debuggen dessen, wie z.b. ip
route get bekannt.
Aber da genau dieses das "eigenartige" Ergebnis liefert nehme ich an,
dass dies doch der Fehler sein wird.
Vielen Dank schon mal für eure Hilfe!
Alex
Mehr Informationen über die Mailingliste Discuss