Multipath Routing mit KabelBW
Verfasst: Mi 21.08.2013, 12:19
Hallo zusammen,
wir haben seit Kurzem eine zweite IP von KabelBW, die wir über das Bridging der Fritz-Box direkt an eth3 unserer FW angeschlossen haben.
Wenn wir DHCP auf diesem Interface aktivieren, bekommen wir die korrekte externe IP2 (217.8.x.y), allerdings kommt da eine /26er Maske mit.
Außerdem haben wir zusätzlich unsere bisherige Konfiguration, nämlich Port 1 der Fritz-Box (192.168.0.2) (nicht gebridget) an eth0 (192.168.0.1).
Die Fritz-Box selbst hält die externe IP1 (217.8.x.z). Merke: Das "x" in IP1 und IP2 ist gleich und beide liegen auch innerhalb des gleichen Subnets (geht ja von x.0 - x.63).
Wir haben also folgende Konfiguration:
eth0 external, vpn-ipsec, vpn-... 192.168.0.1/24
eth1 internal, firewall-internal 172.16.0.1/23
eth3 dmz2, firewall-dmz2 217.8.x.y/26
eth5 dmz4, firewall-dmz4 10.0.1.1/24
und eine Default Route über GW 192.168.0.2 (Fritz-Box) auf 0.0.0.0/0.
Wir würden jetzt gerne Folgendes erreichen:
1. In DMZ4 steht ein Rechner 10.0.1.10. Dieser soll ausschließlich über DMZ2 (217.8.x.y) ins Internet kommen und auch von dort auf Port 443 erreichbar sein.
2. Alle anderen Netze sollen weiterhin die bisherige Route verwenden.
3. Außerdem sollen alle Rechner aus Internal (eth1) direkt auf o.g. Rechner in DMZ4, Port 443 kommen.
Momentan haben wir das Problem, dass wir zwar mit entsprechender Regel im Paketfilter aus Internal auf DMZ4 kommen, allerdings kann 10.0.1.10 selbst nicht ins Internet pingen - das sieht nach einem Routingproblem aus.
Wir haben deshalb die Source-Route
10.0.1.10 32 217.8.63.49 0.0.0.0 0 1
erstellt und im Paket filter das Netz DMZ4 vollständig (vorerst) für Internet freigegeben.
Außerdem wurde ein Hide-NAT für DMZ4 hinter eth3 erstellt.
Leider funktioniert das alles bisher nicht - können Sie uns da einen Tip geben?
Danke im Voraus,
FCT
wir haben seit Kurzem eine zweite IP von KabelBW, die wir über das Bridging der Fritz-Box direkt an eth3 unserer FW angeschlossen haben.
Wenn wir DHCP auf diesem Interface aktivieren, bekommen wir die korrekte externe IP2 (217.8.x.y), allerdings kommt da eine /26er Maske mit.
Außerdem haben wir zusätzlich unsere bisherige Konfiguration, nämlich Port 1 der Fritz-Box (192.168.0.2) (nicht gebridget) an eth0 (192.168.0.1).
Die Fritz-Box selbst hält die externe IP1 (217.8.x.z). Merke: Das "x" in IP1 und IP2 ist gleich und beide liegen auch innerhalb des gleichen Subnets (geht ja von x.0 - x.63).
Wir haben also folgende Konfiguration:
eth0 external, vpn-ipsec, vpn-... 192.168.0.1/24
eth1 internal, firewall-internal 172.16.0.1/23
eth3 dmz2, firewall-dmz2 217.8.x.y/26
eth5 dmz4, firewall-dmz4 10.0.1.1/24
und eine Default Route über GW 192.168.0.2 (Fritz-Box) auf 0.0.0.0/0.
Wir würden jetzt gerne Folgendes erreichen:
1. In DMZ4 steht ein Rechner 10.0.1.10. Dieser soll ausschließlich über DMZ2 (217.8.x.y) ins Internet kommen und auch von dort auf Port 443 erreichbar sein.
2. Alle anderen Netze sollen weiterhin die bisherige Route verwenden.
3. Außerdem sollen alle Rechner aus Internal (eth1) direkt auf o.g. Rechner in DMZ4, Port 443 kommen.
Momentan haben wir das Problem, dass wir zwar mit entsprechender Regel im Paketfilter aus Internal auf DMZ4 kommen, allerdings kann 10.0.1.10 selbst nicht ins Internet pingen - das sieht nach einem Routingproblem aus.
Wir haben deshalb die Source-Route
10.0.1.10 32 217.8.63.49 0.0.0.0 0 1
erstellt und im Paket filter das Netz DMZ4 vollständig (vorerst) für Internet freigegeben.
Außerdem wurde ein Hide-NAT für DMZ4 hinter eth3 erstellt.
Leider funktioniert das alles bisher nicht - können Sie uns da einen Tip geben?
Danke im Voraus,
FCT