xDSL.at

von **helper64bit** » Mi 16 Okt, 2013 14:50

Hallo,

Ich war vor ein paar Wochen auf der Suche nach einem DualWAN Setup mit meiner schon verfügbaren Hardware, und bin dann auf den Beitrag gestoßen, den 12woody vor drei Jahren verfasst hast. (Findet man hier.)
Daraufhin hab ich das ausprobiert, und war begeißtert als das auf anhieb geklappt hat. Ich hab dann das Script noch eine Funktion erweitert, welche es ermöglicht, den Traffic auch nach Source-Adressen und Source-Ports zu lenken - war aber nicht wirklich viel Arbeit, da ja von dir schon die Vorlage gegeben war. (mit Dentination-Adresse bzw. Port).

Soweit so gut. Allerdings habe ich ein Problem, dessen Ursache ich nicht herausfinden konnte. Und zwar:

Code: Alles auswählen: /--------------\ | | 10.0.0.138/24| ST585 v7 | ---------------| | /------------------------\ / PF 1-65000 | DSL 1 | | | 10.0.0.1/24 / -> 10.0.0.1 | | | Linksys |-------------- \--------------/ | WRN2000v2 | vlan1 192.168.0.1/24| | /--------------\ ---------------| Firmware | 10.1.0.1/24 | | br0 ((W)LAN) | TomatoUSB-Mod |--------------\ 10.1.0.138/24| | www.tomatousb.org | vlan2 \---------------| | | | PF 1-65000 | DSL 2 | \------------------------/ -> 10.1.0.1 | | \--------------/

Das ist seine Zeichnung. Ich hab so ziemlich das selbe Setup, nur dass ich ganz links, noch drei Router angeschlossen habe, welche jeweils dahinter ein eigenständiges Netz haben. Diese Router führen auch ein NAT durch. Ich habe also ein Tribble-NAT. Einmal von den Modems der ISP, dann der Linksys Router und dahinter noch die Router, für deren Netze. Das ist nicht wirklich schön, ich müsste desswegen einen Port auf mindestens 3 Geräten freigeben, damit dieser auch wirklich forwareded wird.
Desshalb hab ich den Linksys Router bei den Modems jeweils in die DMZ gestellt.
Damit ich nun ein Port nur mehr am Linksys-Router freigeben muss, wollte ich das NAT bei den 3 Routern ausschalten. Wenn ich dass allerdings mache und das DualWAN-Script aktiv habe funktioniert das nicht.
Ich komme nicht durch. Allerdings: Ein PING ins Internet funktioniert. Es wird nur TCP/UDP geblockt.

Kann sich jemand etwas zusammenreimen, warum das so ist?

Mit eingeschalteten NAT + DualWAN Script = funktioniert.
Mit ausgeschalteten NAT + ohne DualWAN Script = funktioniert.
Mit ausgeschalteten NAT + DualWAN Script = funktioniert leider nicht.

Muss irgendwas damit zu tun haben, dass das Script keine Pakete durchlasst, wenn diese nicht vom eigenen Netz stammen. (In der Zeichnung wäre dass das 192.168.0.0./24er netz)

liebe Grüße

von **sunnyat** » Mo 21 Okt, 2013 18:40

bei den Modems solltest unterschiedliche adressen haben: z.B.: 10.0.0.138 (Modem 1) und 10.0.0.139 (Modem 2)

von **zid** » Mi 23 Okt, 2013 09:14

>"...bei den Modems solltest unterschiedliche adressen haben..."
die modems haben bereits verschiedene ips -> 10.0.0.138/24, 10.1.0.138/24. sieht man etwas schwer, weils die zeichnung ziemlich zerlegt hat.

helper64,

poste mal den output von...:

Code: Alles auswählen: # ip a # ip r l t all # ip ru # iptables -nvL # iptables -t nat -nvL # iptables -t mangle -nvL

...sodaß wir uns auskennen, was da so alles abgeht.

weiters würde ich auf den modem keine dmz setzen, sondern gleich mit pptp einwählen. und dann würd ich auch keinen 2. ethport für den wan-link verschwenden, sondern beide wan-links über einen wan-port führen (sollte sich von der bb her ausgehen). sieht schematisch so aus:

: tomato_dual_wan_dirty_approach.png (12.06 KiB) 14584-mal betrachtet

von der konfig her gesehen gibts grundsätzlich 2 möglichkeiten:

1. der saubere ansatz:
du ziehst am wan-port des tomato routers einen trunk mit vlan1 und vlan2 auf und gibst den vlan-links die ip 10.0.0.1/24 bzw. 10.0.1.0/24. danach ziehst du am einen eth-port des ersten sts/tgs ebenfalls einen trunk für die beiden vlans auf und auf einen 2. eth-port einen access port für vlan2. das erste modem bekommt z.b. die ip 10.0.0.138/24 und das zweite die 10.1.0.138/24.
und dann nur noch auf jedem vlan einen pptp-dialer draufsetzen und als server die ip 10.0.0.138 bzw. 10.0.1.138 nehmen.

2. der dreckige ansatz (die schwindlige skizze von oben bezieht sich auf diesen ansatz):
du nimmst am wan-port nur das vlan1 mit der ip 10.0.0.1/24 und setzt 2 pptp-dialer mit unterschiedlichen pptp-servern (10.0.0.138, 10.0.0.139) auf und schon fertig.

im routeros jargon sieht das so aus:

Code: Alles auswählen: > ip ad p Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 192.168.88.1/24 192.168.88.0 bridge 1 10.0.0.1/24 10.0.0.0 ether5-wan ... > in pptp-c p Flags: X - disabled, R - running 0 R ;;; PPTP-Dialer - line2 (10.0.0.139) name="pptp-out2" max-mtu=1460 max-mru=1460 mrru=disabled connect-to=10.0.0.139 user="user2" password="pw2" profile=default add-default-route=no dial-on-demand=no allow=pap,chap 1 R ;;; PPTP-Dialer - line1 (10.0.0.138) name="pptp-out1-38" max-mtu=1460 max-mru=1460 mrru=disabled connect-to=10.0.0.138 user="user1" password="pw1" profile=default add-default-route=no dial-on-demand=no allow=pap,chap

lg
zid

//edit:
ascii-skizze durch screenshot ersetzt.

von **zid** » Mi 23 Okt, 2013 09:58

hier auch noch ein bunti vom woody ansatz:

: woody_tomato_dual_wan.png (18.93 KiB) 14584-mal betrachtet

lg
zid

von **helper64bit** » Fr 01 Nov, 2013 13:19

Hallo,

Erstmal danke für eure Antworten.
Eines der beiden "Modems" ist ein 3G Router, wesshalb ich beim Tomatorouter kein PPTP verwenden kann. Ich hab desshalb beide "Modems" so eingerichtet, dass sie als Router funktionieren, und desshalb den Hauptrouter - welche das Loadbalancing/MultiWAN durchführt - eine statische IP-Adresse zugewiesen. Bei beiden "Modems" den Router in die DMZ gestellt, damit ich bei den zwei Geräten keine Portsweiterleiten muss. Hauptfirewall soll ja auch der Mainrouter spielen. Das passt soweit.

Ich habe allerdings das gefühl, vielleicht etwas falsch verstanden worden zu sein.
Hier nochmal meine vollständige Tropologie:

An den IP-Adressen-Ranges ist nichts veränderbar, das ist auch alles so gewollt, und das funktioniert auch soweit sogut.
Auch das Loadbalancing/Multi-Wan mit der Tomato-Software funktioniert grundsätzlich!

ABER:
Ich möchte bei Router1, Router2 und Router3 die Network Address Translation (NAT) ausschalten, damit die Pakete unverfälscht beim Tomato Router ankommen. Sprich: Wenn ein Computer mit der IP-Adresse 192.168.2.100 etwas ins Netz schickt, soll der Tomato-Router das auch von dieser IP-Adresse kommen sehen, und nicht von Router1 verfälscht. Dieser würde mit aktiviertem NAT die IP-Adresse durch seine eigene 192.168.1.2 ersetzen - und genau das möchte ich nicht.

Die Routen in die einzelnen Netze sind auf allen Routern gesetzt. Das zeigt sich auch wenn ich das MultiWAN-Script NICHT verwende: Internet-Zugang funktioniert problemlos.
Sobald ich aber das MultiWAN-Script einsetze am Haupt-Router, kommt kein PC mehr ins Netz. Mache ich allerdings von Router1 aus einen Ping ins Netz, funktioniert dieser Problemlos.
(Das Fehlerbild würde zu fehlende gsetzte Routen passen, diese sind aber gesetzt!)
Desshalb muss - so ist meine Schlussfolgerung - ein Fehler im Script vorliegen. Die Aufgabe ist nun also das MultiWAN Script zu analysieren und den Fehler in dem Script zu finden, das übersteigt jedoch meine Kompetenzen. Deshalb wäre ich um jede Hilfe dankbar.

Das benutzte MultiWAN-Script habe ich von diesem Thread bezogen.

liebe Grüße

von **Martos777** » Sa 30 Nov, 2013 13:33

Erstmals ich denke das ich nicht mal ansatzweise dein Wissen über Netzwerke mitbringe. Aber ich frag mal so frei heraus - wozu brauchst du Router 1, Router 2 und Router 3 - kannst du dort nicht normale Switches einsetzen ? Oder diese Router in den Bridgemodus setzen ? lg

xDSL.at

DualWAN mit Tomato

DualWAN mit Tomato

Re: DualWAN mit Tomato

Re: DualWAN mit Tomato

Re: DualWAN mit Tomato

Re: DualWAN mit Tomato

Re: DualWAN mit Tomato

Wer ist online?