Rechnerinternes Routing

Guten Morgen,
mich plagt ein Problem, welches sicherlich ganz einfach zu lösen ist, mich aber trotzdem an den Rand meines Wissens bringt. Folgende Situation:

Eine Abteilung soll unternehmensintern ein eigenes, abgegrenztes Netzwerk bekommen, aber trotzdem in der Lage sein auf das Unternehmensnetzwerk zuzugreifen. Dabei stehen im Unternehmensnetzwerk 10 IP - Adressen zur Verfügung, welche über NAT auf einem (Suse-)Linuxrechner intern verfügbar gemacht werden sollen. Die entsprechende Abteilung testet Webseiten und andere Software, deshalb ist es wichtig, dass man jede Testgruppe anhand einer eigenen IP identifizieren kann. Deshalb möchte ich auf dem Linuxrechner 10 interne IP Adressen zur Verfügung stellen, die die jeweiligen Arbeitsgruppen als Gateway nutzen. Wenn man nun über den Gateway 1 surft, soll als Quelladresse (z.B. beim Sniffen) auch die QuellIP 1 da stehen, bei Gateway 2 auch die IP 2 und so weiter, ?.

Zur Verdeutlichung im Anhang mal ein Ausschnitt aus dem Netzwerkplan.

Ich habe versucht die Adressen quasi intern zu Routen (was aber keinen erfolg brachte - die Quelleadresse änderte sich einfach nicht, ?) und das NAT entsprechend zu Konfigurieren (z.B. -o eth1:3 ?i eth0:3, wo aber nur eine Fehlermeldung kam, die ich darauf zurückführte, dass er keine zusätzlichen IP - Adressen (?:3) duldet.).

Irgendwie weiß ich jetzt nich, wie ich die Sache angehen soll.

Lg,
qiubic

Wenn du "nur" ein Gate brauchst was NAT mit den 10 IPs macht, dann wuerde ich dir auf jeden Fall die ipcop empfehlen (www.ipcop.org). Dort kannst du bequem deine 10 IPs als Aliase vergeben (das muesstest du auch tun, wenn du es selbstr machen willst) und nach belieben weiterrouten.

In deiner Zeichnung steht was von einer Failover Loesung. Da wuerde ich in diesem Fall OpenBSD/CARP/pfsync empfehlen. Openbsd bringt von haus aus alles mit um firewall clusterzu erstellen, die auch die states transparent halten.

Die Failoverlösung steht schon ;o) Habs mit Heartbeat gemacht, ... läuft richtig gut.

Naja, der entscheidende Schritt ist eigentlich das selbst und unter den gegebenen Bedingungen zu machen, weil ich das bestehende System inzwischen nicht mehr einfach abreisen kann. Das läuft schon ne ganze Weile und und mein Chef möcht nicht, dass ich das ganze Ersetze . Es muss doch möglich sein, sowas auf der Kommandozeile zu lösen? Ein passender ansatz, ob ich mit Routing bei meinem Problem überhaupt weiterkomme (und wenn nicht, womit denn dann?) Könnte auch schon helfen.

lg,
qiubic

Wenn die Loesung so steht, dann wirste ja schon irgendwo deine IPTables haben?

In diesem Fall musste dem einen Interface deine IPs als Aliase verpassen.
Am ende brauchst du "eigentlich" doch nur diese aliase auf die dahiniterliegende Kiste zu "Natten"- oder auf mehrere wenn du mehrere hast.

wenn du generell nat in die netze machst ohne irgendwas zu filtern solltest du eigentlich gar nichts machen muessen.

Jub, IPTables ist drauf und die Interfaces haben Aliase mit IPs(a,b,c,d,...).

Original von Gulliver
In diesem Fall musste dem einen Interface deine IPs als Aliase verpassen.
Am ende brauchst du "eigentlich" doch nur diese aliase auf die dahiniterliegende Kiste zu "Natten"- oder auf mehrere wenn du mehrere hast.

Zum Vergrößern anklicken....

Und genau da liegt das Problem. wie mach ich das?
bei bekomm ich ne Fehlermeldung, ...

Stichwort ist hier "SNAT"

Bsp:
Rechner 1 hat 192.168.1.10 und die Pakete sollen vom NAT Router
die QuellIP 10.1.1.2 bekommen.

Am NAT Router:
eth0 = 192.168.1.0 /24
eth1 = 10.1.1.0 /24

Dann würde das meiner meinung nach wiefolgt aussehen:

iptables -t nat -A POSTROUTING -s 192.168.1.10 -o eth1 -j SNAT --to 10.1.1.2

Dann sollter der Router eigentlich die QuellIP aller pakete von 192.168.1.10 nach 10.1.1.2 übersetzen.

mfg

Sorry, dass ich mich solange nicht mehr gemeldet habe, hatte erst ne überrachende Konferenz, dann Urlaub und als ich nun wiederkam, war vom zweiten Server ne Festplatte defekt - Ich meld mich später nochmal, wenn ich wieder mehr Zeit hab, das SNAT mal zu testen.