Re: Routing/NAT-Problem mit neuem Server
Hallo lists@briel.de,
realnamen sind hier eher üblich :-)
Am Montag, den 16.03.2009, 21:55 +0100 schrieb lists@briel.de:
> Hallo zusammen,
>
> wir haben hier aktuell Routing-Probleme mit einem neuen Server.
>
> Folgendes Setup:
>
> GW: 10.10.178.33
> eth0: 10.10.178.35
> eth1: 192.168.178.35
> VM1: 192.168.178.40 10.10.178.40
> VM2: 192.168.178.41 10.10.178.41
> .......
>
>
> VM1
> /
> GW - switch - eth0|eth1 - -- VM2
> \
> VM3
>
> PC1, PC2, PC3 sollen IPs aus dem 10.10.178.-er-Netz nutzen/bekommen.
> Der switch
> droppt leider alle Pakete ungleich der MAC-Adresse von eth0 (Port
> Security) und wir möchten
> allerdings die Dienste auf eigene Server auslagern bzw VMs. Deshalb
> hatten wir uns nun ein
> eignes Subnetz gebaut, indem wir noch zusätzlich interne Dienste
> betreiben, allerdings müssen
> eben die Rechner auch zentrale Dienste im 10.10.178-Netz bereitstellen?!
>
> Wie kann man denn sowas lösen?!
Was sind das denn für VMs? kvm, xen, vmware?!
Und alle sollen IPs aus dem 10.10.178-Netz bekommen, ja?
Mal als Beispiel:
Du hast eine Bridge, wo deine Gäste dranhängen, zb int-bridge (mit IP
192.168.178.1) und deine VMs haben zB .40,.41, etc und sollen eben per
10.10.178.40,.41,.42 erreichbar sein, ja?
Richtig? dann weiter....
Dann sollte folgendes helfen:
- zusätzliche IP auf den Wirt
ip addr add 10.10.178.40/24 dev eth0
- NATting aktivieren im Wirt:
iptables -t nat -A PREROUTING -d 10.10.178.40 -j DNAT --to
192.168.178.40
iptables -t nat -A POSTROUTING -s 192.168.178.40 -j SNAT --to
10.10.178.40
iptables -t filter -A FORWARD -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
Soweit die Theorie, leider klappte das bei mir im nachbau leider auch
nicht :(
Kann mir mal jemand erklären, was mir hier fehlt bzw _ich_ falsch mache,
damit dem OP geholfen ist?!
> - SNAT/DNAT?!
>
> eth0 hat alle 10.10.178.-IPs und NAT-ted diese?! geht das - wenn ja wie`?
> Brauche ich da für jede IP ne Regel oder kann man das eleganter lösen?!
Hui - ich denke dies geht nur per IP, wenn du 1:1-NAT machen magst.
> - Point-to-point-routing?
> - Source-Based Routing?!
> - ebtables!?
schon mal von gelesen :)
> Kann mir das mal jemand erklären? Port-Security abstellen ist leider
> eine etwas politischere Angelegenheit hier :-(
>
> Beste Grüße
cu,
thomas
Reply to: