Forums Neueste Beiträge
 

Kurze Fragen zu Routing und Firewall (mit langem Text...)

05/07/2011 - 20:01 von Andreas Preissig | Report spam
Hallo,

ich komme gerade mit einem Routing- und Firewallproblem nicht ganz zurecht.

Folgendes ist die Ausgangssituation:

++
| |
| ++ ++ ++ |
| | DNS-Server | | Mail-Server | | Web-Server | |
| | x.y.z.184 | | x.y.z.185 | | x.y.z.186 | |
| | (VM) | | (VM) | | (VM) | |
| ++ ++ ++ |
| br184 br185 br186 |
| 192.168.184.0/24 192.168.185.0/24 192.168.186.0/24 |
| |
| VM-Host (Linux) |
| eth0: x.y.z.143 |
| VPN-Netz: 192.168.143.0/24 |
| |
++
|| ||
|| tun0 || (tun1)
|| ||
++ ++
| | | |
| router1.dyndns.com | | router2.dyndns.com |
| (pfsense) | | (pfsense) |
| LAN: 192.168.42.0/24 | | LAN: 192.168.43.0/24 |
| WLAN: 192.168.41.0/24 | | WLAN: 192.168.44.0/24 |
| | | |
++ ++

Ganz oben ein physikalischer Host mit drei virtuellen Maschinen.
Da ich bei Hetzner "nur" vier IP-Adressen bekam, habe ich die über drei
Brigdes angeschlossen. Làuft gut, keine Probleme.

Jetzt möchte ich meine beiden router per OpenVPN an den physikalischen
Host anbinden. Ich habe mit dem router1 angefangen, und kann aus dem /24
des Routers den VM-Host über seine VPN-Adressse (192.168.143.1)
erreichen. Gut.

Nun aber die Probleme:

Ich möchte auch gerne auf die drei VMs zugreifen, und im Gegenzug nagios
und munin auch über das VPN in die lokalen Netze laufen lassen. Klingt
einfach, ich kriegs nur nicht hin.

Folgende Route pusht der VM-Host auf den router:

push "route x.y.z.184 255.255.255.254"

Die Firewall ist wie folgt eingestellt:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
target prot opt in out source destination
[...]
ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0
DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
target prot opt in out source destination
[...]
ACCEPT all -- tun0 br184 192.168.40.0/23 x.y.z.184
ACCEPT all -- tun0 br185 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- tun0 br186 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- br184 tun0 x.y.z.184 192.168.40.0/23
ACCEPT all -- br185 tun0 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- br186 tun0 0.0.0.0/0 0.0.0.0/0
[...]
LOG all -- * * 0.0.0.0/0 0.0.0.0/0
DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 474K packets, 284M bytes)
target prot opt in out source destination

leider kommt keine Verbindung von/nach den entsprechenden Hosts
zustande, weder mit Source-Angabe noch ohne...


Meine Fragen:

- Sind die Einstellungen der Route und der Firewall so richtig, bzw. was
muss ich da verbessern?

- Ich würde am Ende dann gerne von beiden Routern in die jeweiligen
anderen Netze zugreifen (zumindest rsync). Wie kann ich denn da die
Router und die Firewall einstellen?

Danke

Andreas
 

Lesen sie die antworten

#1 Juergen P. Meier
06/07/2011 - 06:15 | Warnen spam
Andreas Preissig :
ich komme gerade mit einem Routing- und Firewallproblem nicht ganz zurecht.

Folgendes ist die Ausgangssituation:

| br184 br185 br186 |
| 192.168.184.0/24 192.168.185.0/24 192.168.186.0/24 |

Die Firewall ist wie folgt eingestellt:
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
ACCEPT all -- br184 tun0 x.y.z.184 192.168.40.0/23
ACCEPT all -- br185 tun0 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- br186 tun0 0.0.0.0/0 0.0.0.0/0



Denkfehler. Diese Regeln werden so niemals erreicht. Wie heist das
Interface auf dem VM Host, das diese Bridges mit Layer-3 (IP) verbindet?

Du musst das Layer-3 Interface (also das mit der IP-Addresse auf dem
Host) als Source eintragen, nicht die Bridge-Interfaces an denen die
VM-Gaeste kleben.

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen