[fli4l] Portabhaengiges Routing

Christoph Schulz fli4l at kristov.de
Di Dez 16 16:05:20 CET 2014 

Hallo!

Martin Hans schrieb:

> [...]
> Fehlen noch Infos?

Theoretisch schon (Router B und D sowie das OpenVPN dazwischen), aber 
praktisch kann ich mir vorstellen, wie die Konfiguration da aussieht.

Ich würde vorschlagen, vier ungenutzte /24er LANs für das Routing zu nutzen: 
Alle Verbindungen, die über Router A laufen mit Ziel 192.168.x.0/24 (x in 
(1,2,3,4)) und Zielport 3389 werden z.B. auf das Netz 192.168.110+x.0/24 
gemappt; für alle 192.168.110+x.0/24 gibt es dann eine Route zu Router B. 
Router B macht die Umwandlung rückgängig. Etwa so:

Router A:

IP_ROUTE_N='8'
IP_ROUTE_5='192.168.111.0/24 192.168.16.3'
IP_ROUTE_6='192.168.112.0/24 192.168.16.3'
IP_ROUTE_7='192.168.113.0/24 192.168.16.3'
IP_ROUTE_8='192.168.114.0/24 192.168.16.3'

PF_PREROUTING_N='4'
PF_PREROUTING_1='tmpl:rdp any 192.168.1.0/24 NETMAP:192.168.111.0/24'
PF_PREROUTING_2='tmpl:rdp any 192.168.2.0/24 NETMAP:192.168.112.0/24'
PF_PREROUTING_3='tmpl:rdp any 192.168.3.0/24 NETMAP:192.168.113.0/24'
PF_PREROUTING_4='tmpl:rdp any 192.168.4.0/24 NETMAP:192.168.114.0/24'

Router B:

PF_PREROUTING_N='4'
PF_PREROUTING_1='tmpl:rdp any 192.168.111.0/24 NETMAP:192.168.1.0/24'
PF_PREROUTING_2='tmpl:rdp any 192.168.112.0/24 NETMAP:192.168.2.0/24'
PF_PREROUTING_3='tmpl:rdp any 192.168.113.0/24 NETMAP:192.168.3.0/24'
PF_PREROUTING_4='tmpl:rdp any 192.168.114.0/24 NETMAP:192.168.4.0/24'

Ist ungetestet, sollte aber funktionieren. Du könntest zusätzlich 
entsprechende if:...-Klauseln ergänzen, um sicherzustellen, dass das 
Umschreiben der Adressen auch wirklich nur für Pakete gilt, die an den 
richtigen Schnittstellen bei den Routern A und B ankommen.

Theoretisch ist es möglich, ohne das doppelte Adressumschreiben so ein 
Routing aufzusetzen (mit Hilfe von Firewall-Flags, mehreren Routing-Tabellen 
und entsprechenden Routing-Regeln). Da fli4l dies aber momentan nicht kann 
(siehe https://ssl.nettworks.org/bugs/browse/FFL-546), deshalb mein 
Vorschlag mit einer doppelten Adressumschreibung.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]

Mehr Informationen über die Mailingliste Fli4L