problem bei portweiterleitung über geroutete verbindung

[philkir]

hallo miteinander,

ich stehe gerade vor folgendem problem:

grundgedanke ist zwei servern jeweils eine öffentliche ip durch zwei getrennte dsl anschlüsse zu bieten.

dabei stehen beide server an einem standort:

server 1 x.x.111.10 - gateway 1 x.x.111.1
server 2 x.x.111.15 - gateway 2 x.x.112.1

gateway ist jeweils eine fritzbox mit ds-mod (ds-0.2.9_26-14). die beiden standorte sind über ovpn getunnnelt. ovpn läuft natürlich ohne probleme. auch das routing von und in beide netzte. auch erreiche ich server 2 von gateway 2 aus z.b. per ssh.

bei erfolgter portweiterleitung und zugriff von außerhalb erreiche allerdings keinen dienst (egal ob ssh, http(s), etc.)

ich würde mich sehr über denkanstöße sowie lösungsvorschläge freuen.
vielen dank im voraus.

mfg philkir

 

[cuma]

Hm, vielleicht wird bei einem Zugriff auf einen Server von ausserhalb zwar die Anfrage (SYN) richtig angenommen, die Antwort (SYN_ACK) kommt aber wg inkorrektem routings nicht an. Schau doch mal mit einem Schiffer auf dem Server was da los ist!

 

[MaxMuster]

Vermutlich bin ich etwas begriffsstutzig, aber ich versuche mal zu beschreiben, was ich verstanden habe:

Du hast zwei Standorte mit jeweils einem DSL-Anschluss und FBox. Diese Standorte sind uüer OpenVPN verbunden (wie? TUN oder TAP?).
An einem Standort stehen zwei Server und du möchtest, dass der eine über den einen DSL und der andere über den anderen DSL erreichbar ist?

Ist deine Skizze mit den IPs richtig ("Gateway2" mit x.x.112.1)? (Wenn ja, hast du auch eine Netzmaske 255.255.252.0 , damit Server2 Gateway2 im angeschlossenen Netz hat?) Du müsstest dann auch ein gebrücktes Netz (TAP) haben, was nach dem Titel wohl nicht so ist?!?.

Voraussetzung ist für dein Ansinnen nämlich, dass die "Gateway2"-Box von dem Server2 im "angeschlossenen Netz" erreicht werden kann (also per Broadcast, nicht geroutet) und diese Box das DG für den Server ist, denn die Antwortpakete müssen wieder über die Box zurück, über die die Anfrage kam.

Jörg

 

[gfuer]

Bzw. wenn zwischen den beiden Servern tatsächlich geroutet und nicht gebridged werden soll, dann müssen die Server Adressen in zwei unterschiedlichen IP-Netzen haben, z.B.

server 1 x.x.111.10 - gateway 1 x.x.111.1
server 2 x.x.112.15 - gateway 2 x.x.112.1

(bei einer angenommen Netzmaske von 255.255.255.0)

 

[Feliz]

Hallo philkir,

auch erreiche ich server 2 von gateway 2 aus z.b. per ssh.

Heißt, dass das Gateway 2 mit dem Server 2 lokal verbunden ist!?

Ich gehe davon aus, dass es so ist.

Vom Server 2 aus betrachtet, müssen die Netze hinter dem Gateway 2 wissen, wohin die Pakete an das Netz x.x.111.x/xx geschickt werden müssen.

Deine Zugriffe auf Server1 und 2 kommen nicht bis zu den enstprechenden Gateways 1 bzw. 2.
Auch mußt du an den Servern 1 und 2 das entsprechende Gateway 1 bzw. 2 als Default gateway eintragen, also alles was an 0.0.0.0 geht.

Wichtig: Es müssen Hin- und Rückweg für das jeweilige Routing richtig gesetzt werden.


Sofern du eine Skizze einstellst, können wir gerne zusammen die Routingeinträge erstellen. In dieser Skizze kannst du die offiziellen IP´s bzw. Domainnamen anonymisieren.

Aus dieser Skizze sollte hervorgehen, welche Netze (Ziele) worüber erreicht werden sollen!

Gruß,


Feliz

 

[philkir]

zunächst vielen dank für die antworten und eure hilfsbereitschaft.

interessanterweise hatte ich keine email bzgl. euren antworten bekommen.

ich werde heute noch eine skizze zur verdeutlichung der netzwerkstruktur erstellen und mich dann noch einmal melden.

grüße philkir