2 Router in einem Netz

[Soonwald]

Hallo Gemeinde,

ich habe folgendens Problem:

In einem Werksstandort habe ich ein 10er Netz im Bereich:
10.77.32.1 ... bis 10.77.36.254 mit mask 255.255.248.0

der Router ist der 10.77.32.1
hinter dem Router ist eine 2MBit Standleitung die dieses Subnetz mit anderen Subnetzen weltweit
verbindet.

Ins Internet geht es über einem Proxy, der sich hinter dem Router - also pysikalisch gesehen, in einem
anderen Werksstandort befindet (der hat dann z.B. die 10.77.88.99)

Soweit so gut.

Nun habe ich aber in meinem Standort einen eigenen S-DSL Zugang zum Internet - und möchte
(aus diversen Gründen) einigen Clients diesen Zugang ermöglichen.

D.h. ich nehme eine alte Büchse mit 2 Netzwerkkarten in das oben beschriebene Netz,
vergebe einer Netzkarte eine statische 10er Adresse - z.B.
10.77.32.100 ... und der anderen Karte sowie dem S-DSL Router meinetwegen
192.168.0.1 ...und 192.168.0.2

Auf diesen PC möchte ich ein Linux mit Squid aufsetzen.

Die Clients die diesen Proxy dann nutzen dürfen - hätten dann weiterhin als Gateway die 10.77.32.1 um andere Subnetze erreichen zu können - und als Proxy die Linux-Kiste mit 10.36.32.100.

Ist das so machbar? ..oder übersehe ich da was?

Wie kann ich die Maschine mit dem Squid dazu bringen - eine Art Router-Funktion zu übernehmen?
Also im 10er Netz zu sein ... und die Anfragen die über den Squid gehen dann auf das 192er Netz
zu routen ... aber eben nur diese?

Grüße walter

 

[nakal]

Ich weiß nicht, ob ich das richtig verstehe, aber der Vorschlag im letzten Absatz kommt mir am sinnvollsten vor.

Das Problem ist, dass der Standardgateway in diesem Fall bei den Clients, die über Deinen Proxy gehen sollen, auf den Proxy auch zeigen muss, wenn er ein Router sein soll. Ferner muss ein Router (der hier mindestens 3 NICs bräuchte). Ok, das ist noch nicht das Problem... aber die Netze auf den 3 NICs müssen disjunkt sein, damit der Router weiß wohin mit den Paketen. Das ist erstmal nur auf dem NIC gewährleistet, wo der S-DSL-Router ist (das ist dann der Standardgateway für den Proxy). Das 10er-Netz müsste hier sinnvoll aufgeteilt werden.

 

[Soonwald]

wie kommst du jetzt auf 3 NIC's ???

Im Prinzip habe ich doch 2 Netze ...
einmal das 10er (in dem auch die Kiste mit dem Squid und 2 NICs läuft - sowie alle clients etc,) ...
und das 192er (ebenfalls auf der Linux-Büchse mit dem Suid - und dem 192 S DSL Modem )


grundsätzlich ist jeder client im 10er netz und braucht für alles mögliche den 10er router.

alle clients können den proxy im 10er netz nutzen -

nur einige clients aus dem 10er netz sollen die möglichkeit bekommen,
einen anderen internet-netzugang ... nämlich den auf 192..1 zu nutzen...

zu diesem zweck die büchse mit 2 NIC und dem Squid

 

[nakal]

Das ist wahrscheinlich auch davon abhängig was Du darunter meinst "nur einige Hosts sollen ans S-DSL" können. Wenn Du IP-Vergabe für so sicher hältst, dass niemand (z. B. mit einer Live-CD) in Deinem Netzwerk sich eine IP einstellt, die am Ende doch über den S-DSL-Router raus kann, dann ist das ok, wie Du es vorschlägst.

 

[Illuminatus]

mit dem proxy privoxy kann man recht einfach bestimmte Domains über spezifische ParentProxies weiter bearbeiten lassen. Bei squid dürfte es wohl mit den ACLs und http://www.squid-cache.org/Doc/config/cache_peer/ lösbar sein

 

[mark05]

hi

keep simple

der neue rechner mit dem squid und der dsl leitung , bekommt eine ip aus dem vorhandene 10 ip netz.

squid , firewall , und forwarding configurieren


wenn nun ein client diese letung nutzen soll einfach den dsl/squid rechner als proxy eintagen.

wenn nun noch mehr dienste via dsl genutzt werden sollen z.b . imap oder pop3 enstprechende proxys auf dem dsl/squid rechner einrichten

und beim client eintragen.

das wird natuerlich bei vielen diensten aufwendig.

wenn du in der abteilung / standort eine segment trennung vor nehmen kannst sollstest du darueber nach denken , den neun router als zentralen
router mit dhcpd server fuer dei clients an dem standort , die verbindung zu den uebrigen standorten , netz endet an diesem router.

so kannst du recht gut bestimmen wie geroutet wird , z.b. mit pf , ich wuerde das im uebrigen mit opebsd machen , man hat dort mehr moeglichkeiten
routing zu betreiben .


holger

 

[Soonwald]

hi

.....
der neue rechner mit dem squid und der dsl leitung , bekommt eine ip aus dem vorhandene 10 ip netz.

squid , firewall , und forwarding configurieren

wenn nun ein client diese letung nutzen soll einfach den dsl/squid rechner als proxy eintagen.
....

Ja, so hatte ich mir das auch gedacht.

OpenBSD ist vielleicht ein ganz guter Tipp.

Ich habe da aber erst'mal vielleicht ein Verständnis-Problem.

Dieser Rechner hängt also z.B. mit eth0 im 10er Netz - und mit eth1 im 192er Netz ( in welchem sich nur noch der dsl Router befindet )
Auf dem Rechner läuft der Squid und ne Firewall.
O.K.

Aber wer ist dann auf dem Rechner zuständig, dass die Proxy-Anfragen der Clients vom Squid im 10er Netz entgegen genommen
werden - und auf's 192er Netz weitergeleitet - also geroutet werden?

Indem der Squid z.B. auf Port 8080 eingestellt wird - so dass die Clients den Proxy über diesen Port ansprechen.

Über das Forwarding - bei Open BSD würde das dann mit PF gemacht? - würden dann alles was auf dieser Maschine
im 10er Netz über den Port 8080 läuft, Richtung 192er Netz geroutet.

Wäre der Ansatz so o.k.?

Ja .. jetzt wird mir das so langsam klar ... ich muss also nicht den squid irgendwie dazu bringen mit
eth0 und eth1 zu arbeiten ... sondern das weiterleiten geschieht über das port-forwarding, weil
der client den squid ja auch nur über einen port anspricht.

o.k.

damit wäre dann der zugang für http, ftp usw. klar.

aber einer dieser clients ist eine freebsd-maschine, die mit ssmtp immer wieder ein paar status-mails
richtung gmail schicken soll ... wie bekomme ich diese IP Pakete über den oben beschriebenen Weg
nach draussen?

 

[mark05]

hi

default router / gateway eintrag des squid rechner ist zum dsl router


bei openbsd wird natuerlich ip forwarding generell aktiviert , sas das packete zwischen den interfaces weitergeleitet werden.

jedoch kann ich u.a. das routing manipulieren

z.b. dein squid rechner bekommt als default gw ip eine 10 er ip addr .

nun sage ich pf

pass in on lan_if proto tcp from (lan_if) to any port 80 route-to 192.168.0.1


somit wurden alle verbindungen die der router selber initiert , was ja durch den squid geachieht , in das 192. netz zum dsl router geroutet.

holger

 

[nakal]

Es gibt 2 Begriffe hier zum "Forwarding". Port-Forwarding macht man mit Paketfiltern und das brauchst Du hier nicht unbedingt. Das andere ist eine Kernel-Eigenschaft bezüglich Routern. Wenn Du Forwarding im Kernel anschaltest, reicht der Kernel Pakete von einem NIC an den anderen, sonst macht er es nicht, da er den Rechner nicht als Router versteht.

Es sieht aber auch so aus, als ob Du keinen transparenten Proxy willst, sondern einen, der einfach auf dem Port 8080 lauscht. Dann brauchst Du eventuell überhaupt nichts wildes einzustellen, außer der Default-Route. Der Proxy bindet dann automatisch Verbindungen so, dass sie auf die Default-Route gehen bei externen IPs.

Btw, guck Dir lieber Privoxy an, wie es Illuminatus vorgeschlagen hat. Der läuft wirklich viel butterweicher als Squid. Allerdings muss man transparentes Routing bei Privoxy mit einer Redirect-Regel machen.

 

[FreeBSDuser]

Whut?

Mir scheint das alles etwas zu kompliziert.

Wenn die Firmen Gateway überall Default Gateway bleibt, dann muss man doch nichts weiter tun als auf den ausgesuchten Rechnern den SOCKS oder Meinetwegen auch Squid Proxy einzutragen.

Auf dem SDSL Router Rechner ist das DSL Interface als Default Gateway eingetragen, das andere hat eine 10er IP über die der Proxy erreichbar ist.

Wenn der gesamte Internet Traffic der ausgesuchten Rechner über SDSL Laufen sollen wird auf denen halt der SDSL Rechner die Default Gateway und es gibt eine Route für das 10er netz.

Warum genau soll da jetzt ein Packetfilter dabei?

Bzw. Beschreibe doch mal präzise was genau du erreichen willst.

 

[CommanderZed]

Hi,

sofern du manuell des Proxy bei den Clients einrichtest ist das überhaupt kein Problem. Ich habe mit Squid diverse positive erfahrungen gesammelt.

Der Squid "lauscht" auf anfragen im 10er Netz auf seiner IP. Sobald der browser des jew. Client umgestellt ist, schickt dieser auch seine Fragen an die IP im des Squids im 10er Netz.

Den Rechner auf dem der Squid-Proxy läuft braucht dann nur noch eine ganz normale Route, DNS und IP in deinem 192-SDSL-Netz! Rein funktional ist da weder Routing auf dem Squid-Rechner noch ein Paketfilter Beteiligt!

ABER:

Das 10ner Netz ist vermute ich jetzt mal nicht unter deiner "Kontrolle" so wie ich das verstehe, sondern es gibt verm. jemand anderen der das ganze Administriert (Solltest du zufällig in einem Großhandel arbeiten schick mir mal ne PM ^^).

Die Sicherheit des 10er Netzes gegenüber dem Internet wird vermutlich durch verschiedene Paketfilter e.t.c. an eurem zentralen Knotenpunkt, an dem auch der "eigentliche" Proxy des 10.ner Netzes hängt sichergestellt, z.B. durch eine Appliance und einem Dienstleister.

Bei dem was du vorhast entsteht eine MASSIVE Sicherheitslücke im 10er Netz, die so groß oder klein ist, wie dein Proxy-System & dahinterliegendes 192er Netz sicher ist. Also solltest du zumindest den Squid immer aktuell halten, evtl. mit passwort absichern und auch das Betriebsystem immer aktuell halten. Idealerweise wird der Squid-Rechner dann noch mithilfe irgendwelcher Paketfilter auf dem (hofentlich hochwertigen) Router des 192er Netzes zusätlich geschützt!