Question routage reseau

[fastm3]

Je fais appel aux experts reseaux.

J'explique le contexte. La question n'est pas de savoir comment faire du dual wan mais une question qui m'est venu apres en avoir deployé plusieurs.
Scenario:
On peut mettre en place une config dual wan sans faire appel a un routeur dual wan avec lequel tout serait plus simple.
Je ne veux pas faire de load balancing mais juste pouvoir reserver un lien a une ou un groupe de machine, le routeur dual wan ne se justifie pas vraiment.
Soit donc un reseau local subnet avec 2 routeurs dessus. Je prends l'exemple 192.168.0.0/24
Le routeur 1 est a l'adresse 192.168.0.1 . Le routeur 2 est a l'adresse 192.168.0.2. L'adresse externe wan du routeur 1 est ipext1, le router 2 ipext2.
Un serveur interne a pour adresse interne 192.168.0.3.
Soit un poste externe a l'adresse x.x.x.x

Par defaut, on utilise la gateway1, soit 192.168.0.1. On peut donc facilement demander a un serveur specifique de changer sa gateway
Un petit "route add default gw 192.168.0.2" sur le serveur et ca roule. On peut dedier donc facilement un lien a un serveur donné et meme faire du faiover mais on deborde alors du sujet.
Aucun probleme jusque la. L'idee est de pouvoir acceder en remote a ce serveur en ssh. Si x.x.x.x se connecte en ssh en specifiant l'ip externe du routeur 2, pas de probleme et tout marche aussi.
Bien sur le port forwarding sur le routeur 2 est configuré.
Bref, tout marche jusque la.

Sauf que j'aimerai aussi pourvoir acceder au routeur de l'ip ext1 et la ca ne marche plus. Je rentre par ipext1 et je sors par ipext2, ca semble etre le soucis.
Si je rajoute un "route add x.x.x.x gw 192.168.0.1" , je corrige et ca marche mais a l'inverse, je ne peux plus acceder alors en remote par ipext2
Donc je peux acceder au serveur de l'ip externe 1 ou 2 mais pas les 2 en meme temps.

Bref juste pour satisfaire ma curiosité, quelle serait la solution pour permettre un acces en remote des 2 ipexternes en meme temps avec cette archi en agissant uniquement sur le routage au niveau du serveur.
Je vois 2 solutions: Ajout d'une 2 eme interface virtuelle ? ip rule ?

Je vois comment faire a peu pres en ajoutant une interface mais tous les services devront ecouter sur cette deuxieme interface. Ca veut dire changement de config potentiel, changement des regles de port forwarding sur un des routeurs plus bien sur les routes additionnelles.
J'aimerai eviter sachant que la solution actuelle fonctionne bien si ce n'est cet acces remote ( qui n'est en plus pas critique ). Je fais peut etre fausse route donc plutot que de tatonner et comme je n'ai pas sous la main la possibilité de faire des tests, j'aimerai bien l'avis/solution d'autres personnes.

Merci.
Fastm3.

[quintana]

Salut,

Utilises iproute, faut faire du source routing pour donner ta gateway qui va bien sur ton ip2. C'est normal que cela ne fonctionne pas par défaut.

A+

[fastm3]

Je comprends pourquoi ca ne marche pas ou plutot pourquoi le fonctionnement actuel ne me permet pas d'acceder au reseau interne par l'autre ip.
Par contre, je ne vois pas comment faire du source routing puisque je voudrais que quand j'accede par l'ip externe1, j'ai une route vers la gateway1 et quand j'accede par l'ipexterne2, j'ai une route vers la gateway 2. C'est dans le cas de connections entrantes a partir de 2 wans et non sortantes et je veux que les paquets resortent par la meme gateway d'ou ils sont venu..

J'ai essayé de faire quelque chose comme ca:

Code:

ip route add default via 192.168.0.1 dev eth0 table fai1
ip route add default via 192.168.0.2 dev eth0 table fai2

Et je voudrais effectivement utiliser la table fai1 ou fai2 en fonction de ou la connection entrante est venu.
Le pb, c'est comme j'ai une seule interface sur le serveur (192.168.0.3) , je fais comment pour mon "ip rule" ? Je vois pas...

Fastm3.

[quintana]

comment ça tu as qu'une simple interface ? Si c'est le cas tu ne pourras pas faire grand chose ou j'ai pas compris ta remarque ou lu en travers ton architecture
Si c'est comme je pense comprendre vu ta remarque, à mon avis oublies . Ou mets ton linux en tant que routeur avec les interfaces qui vont bien. Éventuellement tu peux aussi taggué tes paquets si tu peux et réutiliser cela. Bref construire une voiture quatre roues avec deux pneus c'est pas possible .

[fastm3]

Bon effectivement avec 1 seule interface, j'y arrive pas. Il faut creer une autre interface, je m'en sers juste pour ca. Je poste la solution que j'ai trouvé meme si ce n'est pas forcement la meilleure.

Solution:

Code:

ifconfig eth0:0 192.168.0.4 netmask 255.255.255.0
ip route add default via 192.168.0.1 dev eth0 table fai1 
ip route add default via 192.168.0.2 dev eth0 table fai2
ip rule add from 192.168.0.4  lookup fai1 prio 1000
ip rule add from 192.168.0.3  lookup fai2 prio 1000

On forwarde un port du routeur 1 sur le port ssh de la nouvelle interface (192.168.0.4). J'ai pris le risque de faire ca en remote...Je suis joueur...Mais ca marche alors comme prevu. On peut acceder en remote des 2 ips externes alors.

C'est sur , c'est du bricolage mais ca evite l'achat d'un routeur dual wan dans mon cas ou comme tu le suggeres de mettre le serveur en routeur en frontal des 2 wans.
Merci.
Desolé d'avoir utilisé le forum pour reflechir en parlant.
Fastm3.

[Persee]

Une autre solution est le NAT:

tu rediriges sur le routeur 1 et 2 les port que tu veux sur ton serveur et tu active le NAT des IP externes.

Exemple:

X.X.X.X veut accéder: il rentre sur ton interface WAN du ton routeur 1, l'adresse est NATé en 192.168.0.1, ton serveur va voir l'adresse 192.168.0.1 et pas l'adresse X.X.X.X.
Donc, pour repondre, il regarde sa table de routage, voit la route implicite du reseau (192.168.0.0/24) et renvoit a ton routeur 1. Routeur 1 NAT et retransforme l'adresse en X.X.X.X.

meme chose avec ton routeur 2.

Tout ce que ton serveur vera, se sont des adresse de ton reseau et il repondra directement. A la limite tu n'as meme besoin de default route si ton serveur n'initialise jamais de connection vers l'exterieure

[fastm3]

Une autre solution est le NAT:

tu rediriges sur le routeur 1 et 2 les port que tu veux sur ton serveur et tu active le NAT des IP externes.

Exemple:

X.X.X.X veut accéder: il rentre sur ton interface WAN du ton routeur 1, l'adresse est NATé en 192.168.0.1, ton serveur va voir l'adresse 192.168.0.1 et pas l'adresse X.X.X.X.
Donc, pour repondre, il regarde sa table de routage, voit la route implicite du reseau (192.168.0.0/24) et renvoit a ton routeur 1. Routeur 1 NAT et retransforme l'adresse en X.X.X.X.

meme chose avec ton routeur 2.

Tout ce que ton serveur vera, se sont des adresse de ton reseau et il repondra directement. A la limite tu n'as meme besoin de default route si ton serveur n'initialise jamais de connection vers l'exterieure

Je comprends pas comment ca peut marcher.
Les routeurs 1 et 2 sont de simples box en mode routeur et donc bien sur le nat est activé et 1 port forwardé vers le serveur sur les 2 boxs pour ssh ou vpn par exemple comme service.
Donc, je ne vois pas vraiment ce que tu veux activer dessus en plus. Une sorte de double nat en interne ? A quel type de routeur penses tu ?
En plus, les headers SIP seraient reecrits aussi a la volée puisque tu indiques que le serveur ne voit pas l'ip externe ? Non , je vois vraiment pas comment ca pourrait marcher.
Un lien pour expliquer ?
De toutes facons, a supposer que cela soit possible, ca doit necessiter un routeur de la mort et pas une simple box donc ici 2 routeurs, donc aucun interet economique par rapport a un dual wan, non ?
Merci pour l'aide quand meme.
Fastm3.

[jean]

Solution:

Code:

ifconfig eth0:0 192.168.0.4 netmask 255.255.255.0
ip route add default via 192.168.0.1 dev eth0 table fai1 
ip route add default via 192.168.0.2 dev eth0 table fai2
ip rule add from 192.168.0.4  lookup fai1 prio 1000
ip rule add from 192.168.0.3  lookup fai2 prio 1000

salut
j'ai deux accès de FAI sur mon système. Lorsque je fais des cxions entrantes (ssh) via etH0 (celle dont la gw est définie par défaut dans ip route), tout va bien. mais qd je me connecte via eth1, rien... je souhaite juste pouvoir 'entrer' sur la machine par n'importe laquelle des deux interfaces.

je connais peu ip route / rule, je suis donc intéressé par ton post... faut il créer les objets fai1 et fai2 ? ou juste les 4 dernières lignes ?

(la machine cible est une machine de prod distante, donc je veux pas la planter....)

J.

[fastm3]

Fai1 et 2 a créer dans /etc/iproute2/rt_tables
Fait aussi a distance sur machine de prod...
En direct des pistes...donc rep courte
Fastm3

[jean]

T'es un King !!!!

Ca fait juste 3 mois que je cherche à faire ca.... j'ai regardé pas mal de posts sur google, planté deux fois mon serveur....

Merci... que les dieux de la neige soient avec toi !!!