dynamische routing-protokolle/gateway discovery
-
Was muss man machen, wenn man ein neues Gateway irgendwo in ein Netzwerk reinstellt, damit Clients und Router dieses finden?
Also angenommen wir haben ne kleine bis mittlere Firma. Ganz klassisches Setup mit einer Firewall und Intern- und Internet-Zone. (Die Intern-Zone wird dabei über IP-Masquerading ans Internet angebunden, aber das sollte denke ich egal sein).
Die Firewall ist das Default-Gateway für die Intern Zone (alle PCs haben also die Firewall als Default-Gateway für ihre Netzwerk-Interfaces konfiguriert).Nun stelle ich da nen PC rein, schmeisse Ubuntu drauf (in meinem Fall die 9.10 Desktop Version), mach zwei Netzwerkkarten rein. Eine häng' ich in die Intern-Zone, und eine häng ich an einen eigenen Switch, eigenes Segment, neue Zone. Nennen wir diese neue Zone Intern2. Und natürlich hänge ich ein paar andere PCs in diese Intern2 Zone.
Intern2 bekommt natürlich ein eigenes Subnetz.
IP-mässig sieht das jetzt z.B: so aus:
Intern = 192.168.1.0/24, Default Gateway = 192.168.1.1 (=Firewall)
Intern2 = 192.168.2.0/24, Default Gateway = 192.168.2.1 (=Der Ubuntu Router)Am Ubuntu Router sind die Netzwerk-Interfaces so konfiguriert:
eth0 (hängt in Intern) ip = 192.168.1.42 mask = 255.255.255.0 gw = 192.168.1.1 eth1 (hängt in Intern2) ip = 192.168.2.1 mask = 255.255.255.0 gw = 192.168.2.1Und eben
net.ipv4.ip_forward = 1(halt permanent über so ein Config file, ihr wisst sicher wie das heisst, ich vergesse es immer)So.
Routen tut das Ding dann soweit.Wenn ich von Hand auf einem PC in der Intern Zone eine entsprechende Route vorgebe (also 192.168.2.0/24 nach 192.168.1.42 mit metrik so-und-so), dann kann ich von diesem PC aus auf die Intern2 Zone zugreifen, und von PCs in der Inter2 Zone auf den einen PC in der Intern Zone.
Nur was muss ich machen, damit es ohne manueller Route geht? Idealerweise auch ohne dass man es im DHCP (haben wir nämlich keinen) bzw. der Firewall (die ja Default Gateway in der Intern Zone ist) eintragen muss.
Müsste doch irgendwie möglich sein, dem Ubuntu beizubringen, dass es aufeth0alle paar Sekunden laut verkündet dass es ein Gateway nach192.168.2.0/24ist... oder täusche ich mich da?
-
Nachtrag:
Ich bestehe nicht auf Ubuntu 9.10 Desktop. Von mir aus darf es auch ne andere Linux Distro sein, so lange sie halbwegs einfach zu installieren und konfigurieren ist. Auch Windows Server 2003/2008 wäre OK.
Ubuntu 9.10 Desktop hab ich einfach nur genommen weil ich schon ein ISO davon rumliegen hatte (der Router ist ne VM), und ich weiss dass es extrem einfach zu installieren ist.
-
die firewall kennt dein intern2-netz nicht, da fehlt die route.
-
wie mezzo mix bereits sagte: man muss der Firewall klar machen, dass es da noch ein weiteres Netz gibt. Das was d willst kann nicht gehen, da jeder PC per defualt immer nur 1 Gateway ansteuert. Und das ist die konfigurierte Firewall.
-
Wenn ich auf einem PC in "Intern" statt der Firewall was anderes als Gateway einstelle (z.B. das Gateway nach "Intern2") geht lustigerweise trotzdem noch alles, die Route über die Firewall wird irgendwie gefunden.
Wie das funktioniert weiss ich nicht, deswegen frage ich hier, da das ja auch mit dem 2. Gateway funktionieren müsste.
-
hustbaer schrieb:
Wenn ich auf einem PC in "Intern" statt der Firewall was anderes als Gateway einstelle (z.B. das Gateway nach "Intern2") geht lustigerweise trotzdem noch alles
nur z.b. das gateway nach intern2? ansonsten wird dann halt ueber dein 2. gateway zur firewall geroutet. wenn du irgendwas nicht vorhandenes als gateway einstellst, sollte es eben keine route mehr ueber die firewall geben, und mich wuerde die routing-tabelle interessieren, falls es immer noch funktioniert.
-
Hmpf, OK, es geht wirklich nur wenn ich das Gateway nach Intern2 angebe, nicht aber wenn ich irgendwas als Gateway angebe.
D.h. ich müsste in der Firewall eine statische Route setzen damit es funktioniert?
Ist das dann wenigstens so schlau implementiert, dass die Firewall zum Client PC sagt "schick das doch gleich an XYZ, das muss nicht über mich laufen"? Oder geht das dann vom PC zur Firewall und von der Firewall nochmal weiter zum Intern2-Gateway -- obwohl es auch vom PC direkt zum Intern2-Gateway gehen könnte?
-
hustbaer schrieb:
D.h. ich müsste in der Firewall eine statische Route setzen damit es funktioniert?
richtig, das ist eine moeglichkeit.
hustbaer schrieb:
Ist das dann wenigstens so schlau implementiert, dass die Firewall zum Client PC sagt "schick das doch gleich an XYZ, das muss nicht über mich laufen"? Oder geht das dann vom PC zur Firewall und von der Firewall nochmal weiter zum Intern2-Gateway -- obwohl es auch vom PC direkt zum Intern2-Gateway gehen könnte?
da es statisches routing ist, geht es dann immer erst ueber die FW. die clients muessten die route zu intern2 kennen um sich den umweg zu sparen, anders geht es nicht.
-
und wie teile ich denen das mit?
kann ja nicht sein dass man das bei jedem client einstellen muss, das wäre total bekloppt.
-
hustbaer schrieb:
und wie teile ich denen das mit?
kann ja nicht sein dass man das bei jedem client einstellen muss, das wäre total bekloppt.
deswegen ueberlaesst man die wegwahl ja auch dem gateway. daran ist nichts verkehrt.
-
naja, verkehrt ist wenn die daten dazu dann 2x über den selben wire drüber müssen.
direkt schicken wäre effizienter.
-
ein tribut an dein seltsames setup. gibt ja auch genug moeglichkeiten das anders zu machen.
-
zum beispiel?
ich habe von routing keine ahnung, deswegen frage ich hier.
wäre also fein wenn du mir etwas mehr dazu sagen könntest als dass das setup komisch ist.
-
hustbaer schrieb:
zum beispiel?
ich habe von routing keine ahnung, deswegen frage ich hier.
wäre also fein wenn du mir etwas mehr dazu sagen könntest als dass das setup komisch ist.z.b. eine dritte netzwerkkarte in den linux rechner und dann eben beide netze ueber diesen routen.
was du willst ist dynamisches routing ohne routing-protokoll. das geht halt nicht. entweder du setzt die route in den clients manuell, oder nutzt ein routing-protokoll auf den clients, was keine gute idee ist.
