Hi. Ist es möglich, unter Linux ein Bridge Interface "BR0" einzurichten, und für dieses Bridge Interface mehrere VLANS einzurichten? Und da dran dann auch noch den ETH0 mit ranzuhängen? Also dass man quasi einen "virtuellen managed switch" erhält, der nur über den ETH0 nach außen angebunden ist? Ziel des ganzen ist ein Subnetz Routing mit NAT, ohne dass man mehrere NICs oder einen managed switch mit echter VLAN funktionalität braucht. Dass die beiden IP Netze im LAN nicht vonenander getrennt sind, ist nicht weiter tragisch. IPTABLES Routing/NAT mit Aliasen wie z.B. ETH0:1 ist leider so nicht möglich.
d-s schrieb: > Ziel des ganzen ist ein Subnetz Routing mit NAT, ohne dass man mehrere > NICs oder einen managed switch mit echter VLAN funktionalität braucht. das sollte doch einfach so gehen. Beschreibe mal das Problem bitte genauer.
Also ich habe Router A, mit Subnetz 192.168.1/24 Also ich habe Router B, mit Subnetz 192.168.2/24 Und ich habe VPN Subnetz 192.168.10/24 Und ich habe das Client Subnetz 192.168.99/24 Alles zusammen läuft über einen unmanaged switch. Ein Linux Server mit einem physikalischen Ethernetinterface soll nun das Routing übernehmen. Er soll also VPN Endpunkt spielen, 2 VPN Verbindungen über Router A und B herstellen, diese Verbindung bonden. Und den gesamten Traffic über das VPN schicken. Als Fallback, falls VPN nicht verfügbar, soll er einfach nur Subnetz NAT auf Router A oder Router B machen. Aber alles halt nur mit einem einzigen NIC, nur auf IP Subnetz Ebene. Sicher, man könnte auch mehrere NICs einbauen und parallel auf den Switch gehen. Aber das ist ja eigentlich unnötig. Die Gigabit NIC wird ja noch nicht mal ansatzweise ausgelastet. Mit Aliasen für die NIC wie ETH0:1 funktioniert es nicht, weil IpTables nicht damit zurecht kommt. Mit einer physischen Netzwerkkarte oder externem VLAN Switch+VLAN gehts aber.
ich versteht noch nicht warum du überhaupt NAT machen willst, warum nicht einfaches Routing? Du musst doch beim NAT nicht mit src oder dst interface als Paramter arbeiten, du kannst ja auch die QuellIP oder ein anderes Kriterium verwenden. (Ich habe deine Netzt immer noch nicht verstanden)
Angehängte Dateien:
-
netdiag1.png
7,6 KB
So, ich habe ein Bild gemacht, wie der psysikalische Netzaufbau ist. Der logische Netzaufbau soll so sein, dass die Clients gar nix vom zugrunde liegenden Netz mitbekommen. D.H. quasi direkt über den VPN Endpunkt Server ins Internet gehen. Leider habe ich nur Geräte mit einer einzigen Ethernetschnittstelle. (MSI Wind PC) Brauche ich mehr als 1 Ethernet, muss ich einen Neukauf tätigen, und einen "Server" anschaffen. Mit einer professionellen Lösung, z.B. Lancom, werde ich mindestens 1200 Euro los. 2x Lancom VPN Gateways, WRT und 3G Router müssen trotzdem bleiben. Den Login am LAN kann der Lancom nicht, da es was properitäres ist. Nur der WRT kann es mit Hilfe eines Linux Scriptes. Ein Lancom mit integriertem UMTS will ich aus Gründen des Investitionsschutzes nicht kaufen, da ich auf LTE warte. Dann lieber 2x Ethernet und noch nen extra 3G Router.
Ich habe es nicht verstanden, beschreibe doch einfach mal was du erreichen willst.
Mit Openwrt kann man übrigens fast jeden Scheiß machen.
Net schrieb: > Ich habe es nicht verstanden, beschreibe doch einfach mal was du > erreichen willst. ich auch noch nicht. Ein Wrt54G hat doch 5 schnittstellen, wie viele willst du denn noch?
Angehängte Dateien:
-
netdiag1.png
7,6 KB
Ich habe doch versucht, zu beschreiben, was ich erreichen will. Der Server soll als VPN endpunkt dienen. 2 VPN Verbindungen über 2 verschiedene Router, die mit Bonding und "Active backup" zusammengefasst werden. Und als Fallback einfaches Subnet NAT auf das Subnet vom WRT54G. Mit Aliasen für die ETH0 funzt es wie gesagt leider nicht mit dem NAT. Deswegen dachte ich, mit einem Bridge Interface und "Rechnerinternem VLAN" etwas zu machen. NAT über VLANs soll ja gehen. Könnte noch den WRT54G verwenden, und mit dem VLAN realisieren. VPN direkt mit dem WRT54G war leider nicht ganz so prickelnd. Es lief nur mit ca 1,4 Mbit/s Durchsatz, und Channel Bonding / UMTS Fallback über den 3G Router im LAN habe ich auch nicht hin bekommen.
Angehängte Dateien:
-
vpn.png
9,5 KB
Hier mal ein Bild, wie die Daten fließen sollen. Also entweder alles über den VPN Endpunkt zum Gateway zuhause oder zu einem gemieteten VPN Gateway. Die VPN endpunkte haben jeweils nur eine Ethernet Schnittstelle und stehen innerhalb der jeweiligen LANs. Zwischen beiden VPN Endpunkten sollen 2 VPN Connections hergestellt werden, die über das UMTS soll als aktive Backup verbindung genutzt werden, ohne dass der Client was von Ausfällen der Hauptverbindung mitbekommt. Sollte das VPN ganz down sein, soll auf NAT via dem WRT54G zurück gegriffen werden. Aber ohne auf dem Client etwas zu ändern, das Endpunkt Gateway soll einfach NAT von 192.168.99/24 auf 192.168.1.1 machen. Und zwar mit einem Ethernet Interface. Und genau hier liegt der Knackpunkt. Mit Aliasen für ETH0 geht das mit IpTables NAT nicht. Deswegen suche ich ne andere Lösung, mir kam die Idee mit den vlans und br0.
Angehängte Dateien:
-
netdiag2.png
8,7 KB
So, hier mal ein Bild vom Serverinternen Datenfluss. Dieser "interne Switch", um den gehts. Da NAT halt direkt auf den Aliasen nicht geht. Grüße
d-s schrieb: > Und genau hier liegt der Knackpunkt. > Mit Aliasen für ETH0 geht das mit IpTables NAT nicht. man kann den WRT54 umkonfiguieren, dann hat er ETH0, ETH1, ETH2 usw. Er hat einen intelligenten VLAN-Switch.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.