extended Routing [2]

Dieses Thema im Forum "Bintec" wurde erstellt von banjo, 18. Oktober 2010.

  1. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    16
    Hallo Leute,

    in Ergänzung zu einer anderen Frage unter http://www.router-forum.de/board-bi...read-r3000-extended-routing-52863-page-1.html biin ich noch auf ein Problem, gestoßen:

    Ich habe nach wie vor 2 DSL Provider an meinem R3000. Es existieren 2 default routes mit Metrik 5 für "Provider A" und Metrik 6 für Profider "B". Ich möchte, dass sämtlicher SMTP sowie PPTP-VPN-Verkehr (GRE und TCP 1723) über Leitung A, alles andere über Leitung B geht.
    Ich habe dazu 3 EXTRoutes definert und für Ports 25 und 1723 sowie Protokoll GRE ein Routing auf Leitung A konfiguriert mit Metrik 4. Dann die Metrik der beiden default routes geändert, "Provider A" auf 6 und "Provider "B" auf 5.
    Resultat zunächst wie gewünscht: SMTP geht über "Provider A" raus, normaler Internetverkehr (80.443 etc) über "Provider B".

    Problem: Versuche ich von außen meinen Mailserver auf Port 25 über IP "Provider A" und telnet anzusprechen (entsprechendes NAT forwarding ist für beide Provider konfiguriert, SIF unverändert), bekomme ich keinen Kontakt.
    Wie könnte ich der Ursache auf die Schliche kommen?

    Grüße Dirk
     
  2. mvmmgda

    mvmmgda Kenner

    Registriert seit:
    16. Februar 2010
    Beiträge:
    99
    Punkte für Erfolge:
    6
    Hallo banjo,

    ich denke Dein Problem liegt im Unterschied von Source- und Destinationport. Wenn Du (bzw. der Router) ausgehenden SMTP-Traffic hast, dann ist der Destinationport der ER Port 25. Wenn du von "Aussen" SMTP (von einem beliebigen private Port) anfragst, dann ist ausgehend für die ER der Sourceport 25 und der Destinationport eben im "private Port" Bereich (1024-65535). Zusätzliche ER mit Sourceport 25 anlegen, dann sollte es gehen.

    Viele Erfolg wünscht

    MvmmgdA
     
  3. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    16
    Hallo MvmmgdA

    besten Dank vielmals, Du hattest mal wieder Recht mit Deiner Vermutung, jetzt läufts!

    Grüße
    Dirk
     
  4. carlos35

    carlos35 Starter

    Registriert seit:
    14. Februar 2011
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Hallo zusammen,

    ich habe ziemlich genau die selbe Konstellation und das selbe Problem, bei mir funktioniert die Lösung allerdings nicht bzw. mache ich bei der Umsetzung etwas falsch.

    Ich habe einen RS232b und zwei Internet Provider, Telekom per DSL und KabelBW per Kabelmodem. Ich versuche nun allen Netzwerkverkehr über das Kabelnmodem zu leiten, abgesehen von SMTP und PPTP die ich über die feste IP Adresse des DSL Anschlusses leiten möchte. Als Standard Route habe ich KabelBW eingetragen, der komplette Verkehr geht über diese Schnittstelle. Anschließend habe ich das extended routing aktiviert und eine neue Default Route angelegt die den kompletten ausgehenden SMTP Verkehr über die DSL Schnittstelle leitet. Funktioniert soweit, HTTP und der Rest läuft über Kabelmodem, SMTP geht über DSL.

    Nun das Problem: Ich kann meinen internen SMTP Server über die feste IP Adresse des DSL Anschluß per Telnet nicht erreichen, selbe Problem wie in er Schilderung zuvor. Ich habe daraufhin eine neue extended route eingerichtet in der festgelegt ist das TCP Verkehr mit dem Quellport 25 weitergeleitet wird. Das funktioniert auch (warum ist mir in diesem Fall allerdings nicht ganz klar), ich kann meinen internen Mailserver per SMTP von außen erreichen. Allerdings ist nun der Verkehr von meinem SMTP Server ins Internet nicht mehr möglich, es kommt keine Verbindung mehr Zustande. Tausche ich die Metriken der beinden Routen funktioniert die Richtung von innen nach außen wieder, die Verbindung von außen nach innen schlägt dann wieder fehl.

    Hat jemand eine Idee zu dem Problem?

    Gruß

    Carlos
     
  5. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    16
    Hi Carlos,

    hier meine Config eines R3000:
    A) je eine extended route als default route für SMTP bzw. PPTP und GRE, höhere Metric (3), Quell IP des SMTP/PPTP Servers, source port: any; destination port 25 bzw. 1723 und ein Eintrag fürs Protokoll GRE nicht vergessen.
    B) je eine extended route als default route für SMTP bzw. PPTP und GRE, gleiche Metric wie bei A), Quell IP des SMTP/PPTP Servers, source port: 25/1723; destination port: any und ein Eintrag fürs Protokoll GRE nicht vergessen.
    (Änderung zu Dir: 2 getrennte Routingeinträge für definierter Quellport -> any bzw. any -> definierter Zielport)
    C)normale route für Internet: niedrigere metric (4) auf das Interface mit dem Kabel-BW-Router für den restlichen Datenverkehr.

    Im Nat entsprechend Deinen Anforderungen Request from Outside auf den jeweilgen internen Server leiten. In der SIF entsprechende Freigaben definieren.

    So läufts bei mir seit Monaten sehr stabil.
     
  6. Sv3n_FD

    Sv3n_FD Gelegenheits-User

    Registriert seit:
    17. Februar 2011
    Beiträge:
    14
    Punkte für Erfolge:
    1
    Hi,

    ich hab da auch ein ähnliches Problem.

    Ich habe einen Adsler und einen Sdsler(mit fester Ip).

    Über den Sdsler erfolgen von extern Zugriffe per HTTP, HTTPS und PPtP.
    Damit das Ganze sauber läuft habe ich den Sdsler als Default-Gateway konfiguriert.
    So gehen alle Anfragen die über den Sdsler reinkommen auch wieder über diesen raus.

    Jetzt möchte der Kunde allerdings, dass seine Mitarbeiter über den Adsler surfen können.
    Sprich HTTP, HTTPS und FTP nutzen.

    Hat jemand einen TIP wie ich das Routing-Technisch lösen kann ?

    Danke im Voraus.
     
  7. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    16
    Hallo,

    richte unter "routing" 3 extended routes ein:
    einmal für destination port 80 (http), einmal für destination port 443 (https) und port 21 (ftp).
    Allen 3 gibst Du eine bessere metric wie bei der default route des SDSL-anschlusses (besser = niedrigere Zahl) und gibst als Ziel den ADSL-Anschluss an. Ggf. musst Du noch NAT für den ADSL konfigurieren.
     
  8. Sv3n_FD

    Sv3n_FD Gelegenheits-User

    Registriert seit:
    17. Februar 2011
    Beiträge:
    14
    Punkte für Erfolge:
    1
    Hey Banjo,

    danke schon mal für deine Antwort.

    Hab jetzt nur noch 2 kleine Fragen:

    Die extended Routen dann vom Type: Default route ? oder LAN Route ?

    Wenn auf den SDSLer von extern eine Anfrage per HTTPS kommt und diese intern an die z.B. 192.168.0.15 geleitet wird.

    Geht die dann immer noch über den SDSler wieder raus oder machen die 3 neuen extended Routen das dann kaputt ?
     
  9. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    16
    Ja, vom Typ "default" mit besserer metric, damit die route vor der der SDSL greift.
    Aus dem Bauch kann ich Dir gerade nicht sagen, ob die Rückantwort dann wie gewünscht über den SDSL rausgeht, wenn die Anfrage von dort kommt. Müsstest Du mal testen.
     
  10. Sv3n_FD

    Sv3n_FD Gelegenheits-User

    Registriert seit:
    17. Februar 2011
    Beiträge:
    14
    Punkte für Erfolge:
    1
    "damit die Route vor der der SDSL greift"

    ...genau da sehe ich ein Problem. Denn in diesem Fall würde alles über den ADSLer raus gehen und die Anfragen die auf den SDSLer reinkommen kaputt machen. Also würde z.B. ein Webshop nicht mehr erreichbar sein....oder denke ich hier flasch ?
     
  11. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    16
    Du denkst richtig, das könnte passieren.
    Wie gesagt, bin mir nicht ganz sicher, wie das Gerät sich in diesem Fall verhält, also ob er erkennt, über welches Interface die Anfrage rein kam und dieses dann auch wieder für die Antwort nimmt. Du müsstest es wirklich testen, ggf. lässt Du https dann auf SDSL und http/ftp auf ADSL.
     
  12. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    16
    Ergänzung:

    Seh gerade auf meinem R3000, Du kannst ja im Extendet Routing eine SourceIP definieren, wenn Du dort den Webserver mit dem Shop einträgst und diesen auf SDSL biegst, sollte https-Verkehr vom Webserver wieder über SDSL und von allen Anderen über ADSL gehen.

    In meiner Konfig mache ich es ähnlich mit SMTP, das vom Mailserver geht über die eine ADSL-Leitung, alle anderen SMTP-Anfragen von z. Bsp. Clients, die ihren Provider abfragen, geht über die 2. ADSL-Leitung.
     
  13. Sv3n_FD

    Sv3n_FD Gelegenheits-User

    Registriert seit:
    17. Februar 2011
    Beiträge:
    14
    Punkte für Erfolge:
    1
    Hey banjo.

    finde deinen Ansatz nicht schlecht.

    Aber dann könnte ich auch her gehen und den ADSLer zum Default-Gateway machen.
    Dann geht Http, Https und FTP automatisch immer über den. Also surfen alle Mitarbeiter über diesen.

    Den SDSLer nehme ich ebenfalls als Default-Gateway aber mit einer höheren Metrik.

    Hinter dem SDSLer können weiter die 4 Server stehen auf die von Extern zugegriffen wird.
    Die NAT Einträge können ja bleiben wie sie sind.

    Und für die 4 IP-Adressen der Server lege ich jeweils eine Extended Route an.

    In der ET sage ich dann alles was von der IP von Server 1 kommt gehe über SDSL.....usw...

    Mfg Sven
     
  14. carlos35

    carlos35 Starter

    Registriert seit:
    14. Februar 2011
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Hallo banjo,

    Danke für die Informationen. Ich habe versucht Deine Konfiguration umzusetzen, stoße dabei aber auf ein Problem:

    Wenn ich versuche eine erweiterte Route anzulegen die über eine LAN Schnittstelle (en5-0) laufen soll dann muss ich als Gateway eine IP Adresse angeben. Die IP Adresse des Kabelmodems ändert sich aber bei jedem ein- und ausschalten des Modems, d.h. ich müsste die Route ständig nachkonfigurieren.

    Gibt es eine Möglichkeit eine Art virtuelle Schnittstelle anzulegen die immer auf en5-0 zeigt, genau so wie es mit WAN Partnern möglich ist? Oder mache ich bei der Umsetzung einen Fehler?

    Gruß Carlos
     
  15. carlos35

    carlos35 Starter

    Registriert seit:
    14. Februar 2011
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Hi banjo,

    nach einigem hin und her überlegen und Deinen Tips hab ich die Konfiguration nun hinbekommen. Mein ursprüngliches Problem war, das ich die zweite erweiterte Route (die als Source Port die 25 hat) falsch zugeordnet hatte.

    Danke!

    Gruß Carlos
     
  16. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    16
    Hi Sven,

    ja, klar, entweder rechts oder links rum, beides geht, je nachdem, was einfacher und übersichtllicher ist.

    Viel Erfolg!
     
  17. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    16
    Hi Carlos,

    schön zu hören, dass Du es hinbekommen hast. Bei den Bintecs bekommmt man fast alles hin, was man machen will, man braucht nur immer ne Weile dazu...
     
  18. Sv3n_FD

    Sv3n_FD Gelegenheits-User

    Registriert seit:
    17. Februar 2011
    Beiträge:
    14
    Punkte für Erfolge:
    1
    So,

    läuft so wie ich mir das ged8 hab xD