Routes distribueren met Linux

vrijdag 4 november 2011 13:48

Acties:

0 Henk 'm!

Topicstarter

Hallo!

Ik heb een LAN (subnet 192.168.0.0/24) met daarin verschillende debian boxes en een Router (192.168.0.1) die verbonden is met het internet. In dit LAN zit ook een Debian box genaamd ALPHA (192.168.0.2) die verbonden is met een VPN (subnet 10.8.0.0/24). Ik heb deze ALPHA geconfigureerd om traffic tussen beide subnets mogelijk te maken, en dit werkt goed. Dus ik kan vanop machine RANDOM (192.168.0.10) pingen naar een machine in het VPN:

RANDOM (192.168.0.10)> ping -c 10 10.8.0.7

Om dit te doen werken moet ik echter telkens bij elke client in het 192.168.0.0/24 LAN statisch een route toevoegen:

route add -net 10.8.0.0/24 gw 192.168.0.2

Een default gateway zetten gaat niet omdat deze al bezet is voor traffic naar het internet (dus via de 192.168.0.1 router). Ik heb ook geen toegang tot de 192.168.0.1 router. Hoe kan ik deze routes (10.8.0.0/24 => 192.168.0.2) automatisch (dus vanop ALPHA bijvoorbeeld) toevoegen aan elke client op het LAN?

Alvast bedankt,
DePhille

vrijdag 4 november 2011 13:54

Acties:

0 Henk 'm!

ChaserBoZ_

Kun je niet gewoon op je 'internetrouter' 192.168.0.1 een route opnemen; 10.8.0.0/24 via 192.168.0.2 ?

'Maar het heeft altijd zo gewerkt . . . . . . '

vrijdag 4 november 2011 13:58

Acties:

0 Henk 'm!

DePhille

Topicstarter

Ik heb geen toegang tot deze router (dit kan enkel als er echt geen andere mogelijkheid meer over is). Ik heb dit ook even in de OP gezet.

vrijdag 4 november 2011 13:58

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

dat ^^ of neem het statement
post-up route add -net 10.8.0.0/24 gw 192.168.0.2
onder de interface config op in /etc/interfaces van de clients.

[ Voor 5% gewijzigd door TrailBlazer op 04-11-2011 13:58 ]

vrijdag 4 november 2011 14:00

Acties:

0 Henk 'm!

DePhille

Topicstarter

Maar dit moet dan nog steeds ingesteld worden op elke client in dit netwerk. De bedoeling is dat er op een gemakkelijke manier machines kunnen worden toegevoegd aan het LAN (de machines worden gebruikt in een cluster) dus ik probeer zoveel mogelijk configuratie weg te houden van de clients.

vrijdag 4 november 2011 14:04

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Als je machines toevoegd hoe worden die dan initieel geinstalleerd? Dit is een statement wat je een keer moet wijzigen en dan ben je klaar. Het is niet mogelijk routes te pushen naar een client zonder ook een config wijziging op die client te doen. Je snapt hopelijk zelf ook wel dat het een enrom risico zou zijn als je zomaar route tabellen kan wijzigen op een client zonder ook maar iets op die client te hoeven instellen.

Je kan ook prima een dynamisch routeringsprotocol als OSPF of RIP hier voor gebruiken maar dan moet je nog steeds op elke client een routing daemon alla quagga installeren.

vrijdag 4 november 2011 14:10

Acties:

0 Henk 'm!

Paul

Hebben de machines een fixed IP of krijgen ze hun adres via DHCP? Met DHCP kun je routes pushen, met fixed IP moet je sowieso de machines langs (of iets anders centraals, inlogscripts die op een netwerkshare staan of zo?)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 4 november 2011 14:18

Acties:

0 Henk 'm!

Fish

How much is the fish

DePhille schreef op vrijdag 04 november 2011 @ 13:58:
Ik heb geen toegang tot deze router (dit kan enkel als er echt geen andere mogelijkheid meer over is). Ik heb dit ook even in de OP gezet.

Dan zeg je gewoon dat er geen andere mogelijkheid is. de router is het geijkte punt om aan te passen dunkt me. loop je ook niet te knoeien met nieuwe hosts

Of je knart er gewoon nog een router tussen waar je wel toegang op hebt
krijg je wel een 3e subnet maar wtf dan heb je wel alles weer in eigen beheer

[ Voor 19% gewijzigd door Fish op 04-11-2011 14:21 ]

Iperf

vrijdag 4 november 2011 14:32

Acties:

0 Henk 'm!

DePhille

Topicstarter

Dat dit een beveiligingsrisico zou zijn snap ik. Zo is er ook nog een ARP redirect die hetzelfde effect zou geven. Deze wordt echter in de ARP cache opgeslagen waardoor de entry na een bepaalde tijd telkens zal vervallen. Het installeren gebeurt aan de hand van images. Deze routes zouden dan moeten worden opgenomen in de image zelf, waardoor er per subnet andere images aangemaakt moeten worden. Bedankt voor de suggestie om RIP te draaien, dit zou inderdaad werken! Zijn er eventueel ook nog gelijkaardige protocols beschikbaar waarvoor geen aparte daemon gedraaid moet worden op de clients?

Er draait inderdaad geen DHCP, dus elke interface moet manueel worden ingesteld. Stom dat ik dit niet eerder heb gezien! Dan kan ik inderdaad beter enkele scripts in de images zelf plaatsen.

Bedankt voor de suggesties!

vrijdag 4 november 2011 14:39

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

zo moeilijk is het niet om een script te maken wat op basis van de default gateway bepaalt welke andere routes er geinstalleerd moeten worden. Komt er een subnet bij script in je template aanpassen en gaan met die banaan.

elke routing protocol heeft een aparte daemon nodig.

[ Voor 11% gewijzigd door TrailBlazer op 04-11-2011 14:39 ]

vrijdag 4 november 2011 15:03

Acties:

0 Henk 'm!

Fish

How much is the fish

Als je een beetje vertrouwen hebt in die debian bak kun je die zelfs gewoon als default gateway voor beide netwerken gebruiken. dan word de router alleen gateway voor de debian bak

Iperf

Onderwerpen