[gelöst] 2 Provider-Zugänge einbinden

Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Forumsregeln
Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!

Beitragvon Felis » Mi 30 Mai, 2007 15:31

jutta hat geschrieben:vorsicht: das st546 ist ein adsl-modem. ihr habt afaics sdsl und kabel. du muesstest also einen router nehmen und kein modem.

Darüber habe ich mich zwar auch gewundert, dachte mir aber, "ihr werd's schon wissen..." :)
Felis
Board-User Level 2
Board-User Level 2
 
Beiträge: 812
Registriert: Fr 09 Jan, 2004 11:26

Beitragvon wicked_one » Mi 30 Mai, 2007 15:36

Mir ist nämlich grad noch eingefallen, dass man ja die IP des Routers in die FWs der Server in die Blacklist eintragen könnte, dann dürfte Traffic über das Kabelmodem/ Router auch nicht auf die Server kommen, oder?!


und _das_ wurde dir ohnehin schon vorgeschlagen
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon zid » Mi 30 Mai, 2007 16:35

st 546 war nur beispielhaft gemeint, um d. minimalanforderugen d. modems zu umreißen. modem sollte natürlich sdsl können, sonst wird's b. deinem zugang eher schwierig :-) . du müßtest, wenn du e. alca-modem nehmen wolltest, auf 605 od. 620 (zarte 600,- eur) ausweichen..., v. 610 gibts auch sdsl varianten, ist aber auch nicht geeignet, weil nur r4.2.7 u. damit fw. nicht stateful u. schon gar nicht icsa certified.

freund hatte unlängst ähnliches prob. wie du. nicht ganz so nobel mit sdsl, sondern nur aonspeed (z. surfen) + chello (f. server u. backup). wollte d. gleiche machen wie du, hab's ihm ausgeredet u. linux-gateway m. 4 nics u. billigsdorfer variante m. st546 (da gehts ;-) ) vorgeschlagen. er hat 546er lösung genommen. wie d. ganze ausschaut kannst a. bildschirmfoto sehen, funktion sollte klar sein. ist noch nicht getestet, das wäre aber d. idee.
Dateianhänge
st546v6_chello_aon1.jpg
st546v6_chello_aon1.jpg (34.57 KiB) 29879-mal betrachtet
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Beitragvon jutta » Mi 30 Mai, 2007 16:48

@zid: warum ueberhaupt ein modem? er hat ja einen businessanschluss. da darf er erstens wahrscheinlich nicht so ohne weiteres ein xbeliebiges privates modem anschliessen und zweitens *braucht* er das auch nicht zu tun, weil das modem vom provider gestellt wird und lan-seitig ethernet rauskommt. dort schliesst er seinen router an. (egal, ob das jetzt ein handelsueblicher soho-router oder eine selbstgemachte linux-loesung ist.)
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon jutta » Mi 30 Mai, 2007 17:05

tomster hat geschrieben:@jutta

Da haben sich unsere Postings wohl überschnitten...


ja, passiert leider, wenn ich zwischendurch auch noch arbeite ;)

Genau das habe ich gemeint. Das 546 ist die falsche Wahl. Hat wer eine empfehlung für einen "vernünftigen/verhältnismäßig sicheren" Router mit entsprechend guter Firewall?


mir faellt dazu spontan der bintec vpn 25 ein http://www.funkwerk-ec.com/prod_bintec_ ... 1,837.html
der hat von haus aus schon 2 wan-interfaces, ist also genau fuer solche faelle wie deinen gedacht und spielt (nach etwas einarbeitung!!) alle konfigurationswuensche, die man sich nur denken kann. nicht ganz billig, aber man bekommt ihn fallweise auch gebraucht. unter http://www.funkwerk-ec.com/faq_bintec_b ... 0,837.html findest du einen haufen konfigurationsbeispiele.

sowas kaeme auch in frage http://www.pcengines.ch/wrap1e203.htm darauf hat ein bekannter seinen fli4l laufen.

aber vielleicht eignet sich auch das dsl-modem, das du von deinem provider bekommst, als router. frag doch einmal nach, wie das ausgeliefert wird und ob eine wunschkonfiguration moeglich ist. bei business-produkten werden sonderwuensche ja eher erfuellt.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon penguinforce » Mi 30 Mai, 2007 18:30

anstelle von fli4l würde ich pfsense empfehlen (des teil ist genial)...

:diabolic:
penguinforce
 

Beitragvon lordpeng » Mi 30 Mai, 2007 21:46

zid hat geschrieben:lordpeng> "...ich würd die beiden dienste ned auf der selben maschine betreiben, bzw. den webserver unter umständen sogar virtualisieren ... "
das ist für mich d. krit. pkt. gateway + server collapsed ist vielleicht einfach zu konfigurieren, aber sicher nicht d. gelbe v. ei.
falls du e. modem/router hast, d. mindestens d. leistet, was e. st546 kann, u. darauf auch zugreifen kannst, dann könntest du d. es als gateway für beide zugänge verwenden u.


ich will ja deinen schreibstil nicht kritisieren, aber wennst dich so ausdrücken würdest, dass auch andere leute dich verstehen, wärs einfacher sich mit dir über ein thema zu unterhalten, ich lese im speziellen deine beiträge fast gar nie mehr, weils mir irgendwo zu dämlich ist, bei jedem dritten wort nachdenken zu müssen was du eventuell meinen könntest, nimms bitte nicht persönlich, ist ned so gemeint, aber ich glaube ich bin ned der einzige der deine beiträge erst beim vierten oder fünften mal lesen versteht ...

nur so zur anregung :-)
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon zid » Mi 30 Mai, 2007 21:51

@ jutta:
warum
>...warum ueberhaupt ein modem?..."?

ich hab gesagt:
zid>"...*falls* du e. modem/router hast, d. *mindestens d. leistet, was e. st546 kann*, u. darauf *auch zugreifen kannst*, dann könntest..."
soll heißen:
*wenn* dein zugangskastl so unterbeschäftigt i. d. botanik herumsteht, es muß nicht sehr viel können (also preisklasse st546, b. tomsters b-anschluß sicher kein kriterium), u. du i. d. ding rein kannst (b. b-anschlüssen sicher ein kriterium, offiziell gehts nicht, informell geht manchmal mehr), dann setze es ein u. trenne gateway u. server z. nulltarif.

-> saubere lösung- server u. gateway sind getrennt
keine zusätzliche hardware/kosten
einfachheit- meist einfacher zu konfigurieren, als netfilter etc.

genau diese 3 kriterien waren b. meinem freund ausschlaggebend: nach außen ändert sich nix, d. kastl werden nur anders zusammengestöpselt u. er hat d. gewünschte trennung v. gateway u. server samt netzwerkschutz. d. hat charme.

ich hab' nicht gesagt:
kauf' dir e. 546er o. vielleicht sogar irgend so'n high-end gadget
cracke passwörter/zugangscodes
verstoße gegen abmachungen u. verträge

>"...aber vielleicht eignet sich auch das dsl-modem, das du von deinem provider bekommst, als router. frag doch einmal nach, wie das ausgeliefert wird und ob eine wunschkonfiguration moeglich ist. bei business-produkten werden sonderwuensche ja eher erfuellt..."
z.b., irgendwas geht immer... :-) , zahlt ja auch e. lawine dafür.
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Beitragvon lordpeng » Mi 30 Mai, 2007 21:59

Felis hat geschrieben:Virtualisieren ist übrigens gar nicht so schwierig. Unter www.vmware.com gibt's den VMware-server gratis. Man muss sich bloss registrieren lassen - was aber keinerlei Folgen hat - dann kriegt man eine Seriennummer. VMware-Server installieren, und dorthinein dann das "virtuelle" Betriebssystem installieren, bspw. für den Webserver. Dieses Gastsystem kriegt dann genauso eine IP-Adresse wie jeder andere Rechner im Netzwerk. Man kann "unendlich viele" Gastsysteme installieren. Bei mir hier laufen 2xWin98 unter Linux, was ich für einige Anwendungen brauche und mir so jegliches Rebooten erspare.


virtualisieren ist vor allem mit vmware ziemlich idiotensicher* und der kostenlose vmware server taugt auch einiges, dass es unterschiede zur kommerziellen version des esx servers geben muss is klar, sonst würd vmware als firma wohl nimmer existieren ...

btw. wirklich geil is der vmware lab manager, obwohl vmware fusion auch ziemlich cool ist :-)

* ist nicht zwangsläufig auf den enterprise bereich übertragbar
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon zid » Mi 30 Mai, 2007 23:11

@lord
>"...etc., etc..."
ich fürchte, ich kann's nicht ändern
ich fürchte, ich kann damit leben
ich fürchte, mir geht's m. deinen beiträgen genauso wie dir m. meinen
ich fürchte, dir ist das genauso wurst wie mir
ich fürchte, ich war jetzt schon wieder undeutlich- wennst es liest bist selbst schuld u. brichst deinen grundsatz

nimm's nicht bös + danke f. d. anregung :-)

ps:
ach ja,
ich fürchte, du liest auch meine beiträge, sonst würdest ja nicht kritisieren- tus nicht, leere kilometer
ich fürchte, ich les' auch deine, sonst würd' ich nicht antworten... ^^
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Beitragvon lordpeng » Do 31 Mai, 2007 14:08

>ich fürchte, du liest auch meine beiträge, sonst würdest ja nicht kritisieren- tus nicht, leere kilometer

naja ab und zu versuch ich's doch und nehm mir die zeit

btw. da soll noch einer sagen, das hier wäre ein unfreundliches forum *g*
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon tomster » Do 31 Mai, 2007 14:12

Gut..ähh...ned gut...ähh doch wieder gut...oder ned?

OK, nochamal zur absoluten Verwirrung.

Am SDSL-Anschluß werde ich mit ziemlicher Sicherheit nix ändern. Soll meinen: Das SDSL-Modem bleibt das vom Provider Gestellte. Ist ein SpeedTouch Pro SHDSL mit 4 "LAN"-Ports auf denen unsere sämtlichen festen IPs für die Server aufschlagen.

Derzeit sind unsere Server alle mit 2 NICs (WAN + LAN) ausgestattet. LAN ist glaub ich selbsterklärend, von außen, weil es halt so ist ;-) Einer dieser Server ("mein" Web-Server) ist eben auch unser Gateway zum Surfen und Chatten (oder muss ich hier Arbeiten schreiben? ;-)

Nun hab ich nix anderes vor, als dass ich den Surf/Chat/Arbeits-Zugang auf Kabel-Internet umstellen möchte. Das heisst alle Server bleiben auf SDSL samt festen IPs und bleiben auch lokal via LAN erreichbar. Mein bisheriger Plan hat eben vorgesehen in unseren Gateway eine 3. NIC einzubauen und über diese den neuen Kabel-Inet-Zugang zu bewerkstelligen.

OK, davon habt ihr mir abgeraten. Also werde ich nun hergehen und unser LAN mittels Router an das Kabel-Modem zu klemmen um von da ab fröhlich darüber zu surfen. Da man dann aber auch über das Kabel-Modem in unser LAN eindringen könnte (soll ja solch Hacker vor dem Herrn geben), war die Sorge des Herrn Chef nicht unbegründet. Daher meine Frage nach einer Empfehlung für einen Router, der eine entsprechend konfigurierbare Firewall mitbringt. Um eben den Zugriff vom Kabel-Modem/ Router auf die Server gänzlich zu verhindern, trage ich zusätzlich die IP des Routers in die Blacklisten der Server ein. Sollte dann aber reichen, hoff ich.

Danke an Jutta für den Bintec, aber ich denke der ist mit Kanonen auf Spatzen geschossen. Für VPN nehmen wir lieber einen unserer Server, da die über SDSL einen besseren Donwload in Richtung Userseite bringen als das Kabel. Auch die Mini-PC-Lösung wäre durchführbar, aber sei mir ned bös, wenn ich lieber ein Out-of-the-Box-Gerät hätte. Bitte ned noch einen Rechner den man hätscheln muss; grad auch in Anbetracht, dass es ja für andere Mitarbeiter möglich sein soll auf Fehlersuche zu gehen, bzw. an einem Gerät einfach den Stecker zu ziehen und ihn wieder reinstecken.

So gesehen, kürzt sich der Thread nun auf die schlichte Frage nach einer Router-Empfehlung um das LAN "sicher" mit dem Kabel-Modem zu verbinden. Dabei gehe ich davon aus, dass es auch ein 0815-Gerät sein könnte- wenn nur die Firewall was taugt.
tomster
Neu im Board
Neu im Board
 
Beiträge: 22
Registriert: Di 10 Okt, 2006 11:54
Wohnort: München

Endlich gelöst!

Beitragvon tomster » Mi 17 Okt, 2007 09:27

Nur der Vollständigkeit halber...

Ich hab nun mein eingangs erwähntes Szenario (mit kleinen Änderungen) am Laufen:

Zutaten:
1 x SDSL-Standleitung (600 kBit) mit Provider-Modem
1 x VDSL-Leitung (50MBit) mit gepatchter Fritzbox
1 x Server mit 2 NICs (WAN, LAN)

Ziel:
Den Server sowohl über SDSL als auch über VDSL und LAN erreichbar machen.

Rezept:
Zunächst darf ich anmerken, dass ich am Setup der beiden verbauten NICs NICHTS geändert habe. Soll meinen, dass ich als Ausgangssituation eine Standard-Konfiguration für 2 NICS gewählt habe. Der Server ist also zunächst via LAN und WAN (SDSL) erreichbar.
Um dennoch den Server auch via VDSL erreichbar zu machen, musste ich am Routing Table etwas schrauben. Ich hab unter http://www.tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.rpdb.multiple-links.html ein ganz gute Anleitung gefunden. Bitte bei meinem Beispiel unbedingt die beiden Einträge T1 und T2 in /etc/iproute2/rt_tables setzen!!
Um die Änderungen auch beim Neustart gesetzt zu bekommen hab ich einfach folgendes in die rc.local eingetragen:

Kurze Erläuterung:
192.168.0.0 = Mein LAN-Subnet
xx.xx.xx.161 = WAN-IP des WAN-Default-Gateways (SDSL)
xx.xx.xx.164 = WAN-IP des Servers
192.168.0.121 = LAN-IP des Servers
192.168.0.123 = LAN-IP des LAN-Default-Gateways (VDSL)

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local
ip route add 192.168.0.0 dev eth0 src 192.168.0.121 table T1
ip route add default via 192.168.0.123 table T1
ip route add xx.xx.xx.161 dev eth1 src xx.xx.xx.164 table T2
ip route add default via xx.xx.xx.161 table T2
ip route add 192.168.0.0 dev eth0 src 192.168.0.121
ip route add xx.xx.xx.161 dev eth1 src xx.xx.xx.164
ip route add default via xx.xx.xx.161
ip rule add from 192.168.0.121 table T1
ip rule add from xx.xx.xx.164 table T2

Damit werden nun Anfragen, die über die über das WAN-Gateway (SDSL) reinkommen wieder über dieses nach "draussen" geschickt und Anfragen, die über das LAN-Gateway (VDSL) reinkommen über dieses wieder rausgeschickt. Der Server ist damit über 2 Leitungen erreichbar.

Wer nun fragt warum das Ganze?

Ich hatte für ein kleines Projekt (Hochzeitsphotos) einen Bildserver aufgesetzt. Der war bislang nur über die 600 kBit-Leitung erreichbar. Etwas mau zum User-Download der Bilder. Also hab ich den Server via DynDNS/ VDSL erreichbar gemacht. Und nun konnten die User die Bilder mit knapp 10 MBit saugen. War also quasi eine einmalige Sache. Dennoch kann man obiges Set-Up sicherlich auch bei anderen Szenarien gebrauchen.
tomster
Neu im Board
Neu im Board
 
Beiträge: 22
Registriert: Di 10 Okt, 2006 11:54
Wohnort: München

Beitragvon zid » Mi 17 Okt, 2007 18:36

hm, ich hab'nen knopf: wieso hast du 2 policies gesetzt?
in dem lartc-howto geht's um load-balancing (outbound) und da braucht's mindestens 2 verbindungen u. policies, das ist klar. bei dir aber geht's um inbound mit genau 2 verbindungen und T2 ist in main (254) enthalten. hat das ganze mit nur einer policy (T1) nicht funktioniert oder ist da ein spezieller hintergedanke dabei?
ich wäre einfach mit einer policy für 192.168.0.121 gestartet und hätte alles, das nicht von 192.168.0.121 kommt, über main "erledigt".
anscheinend gibt's da irgendeinen haken, könntest du mir auf die sprünge helfen, danke.
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Vorherige

Zurück zu LINUX & UNIX-DERIVATE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste