Statisches Routing für direkt erreichbare Netze
-
Hi,
wo kann man bei pfSense IP-Routen pflegen, die nicht per Gateway erreichbar sind, sondern direkt über ein Interface.
-
Hallo traxanos,
das sollte über System/Routing möglich sein, wenngleich ich den Nachsatz nicht ganz verstehe.
Grüßend
-
Das ist da eben nicht möglich. Ich muss dort einen Gateway angeben und kein dort kein Interface auswählen.
Zum Beispiel:
eth1 hat 10.10.10.254/24 und ist Gateway.
Die Server haben die Endung von .1 bis .200.
Dann haben wir ein 24er Public-IP-Netz das direkt auf eth1 zeigen soll.
Auf den Servern werden Container virtualisiert, die diese IP Adresse zugewiesen bekommen.Das Ganze ist hier schon seit einigen Jahre in Betrieb. Und genau hierfür benötigt man IP-Adresse direkt auf einem Interface. Eigentlich was völlig normales in "Routed Network", da somit keine Broadcast und Network-Adressen verschwendet werden. Sprich .0 und .255 sind verwendet als Containeradressen.
-
Das ist aber nunmal etwas ganz anderes - wie du schon sagst - als Routing. So ich das verstehe liegt auf dem LAN Interface noch ein zweites Netz an? Warum dann dem nicht einfach eine Alias IP aus genau dem Netz vergeben, das an dem Interface anliegen soll? Ansonsten kann das einfach nicht funktionieren, denn wohin soll pfSense denn sonst den Traffic schicken. Es kann ja nicht einfach "an sein Interface" gehen. Und dann wohin?
Ergo fehlt in deiner Aufzählung etwas. Wenn ich also etwas von virtuellen Servern und anderen IPs lese, dann liegt auf dem zweiten Interface ein weiteres Netz auf. Also bekommt die pfSense einfach ein "Bein" in dieses Netz (wenn es schon kein eigenes VLAN ist - warum eigentlich) indem man ein IP Alias für dieses Interface definiert und somit der Sense klar macht, dass dieses Netz auch auf diesem Bein erreichbar ist.
Wie in deinem Nachsatz schon richtig: genau hierfür benötigt man eine IP auf dem Interface. Dann mach das doch auch :) Das hat dann aber nichts mit routing oder routed network zu tun. Layer 3 ist IP und IP braucht eine Adresse. Wenn das Netz also "geroutet" werden sollte, müsste man schon wissen wohin man es denn routen soll. Und da es wohl in deinem Fall kein "wohin" gibt, ist die einzige andere Möglichkeit, die Sense selbst in das Netz zu stellen.
Und die .0 und .255 in einem /24er Netz als Adressen zu nutzen ist - ganz egal mit welchen dirty tricks man das gebaut hat - meines Erachtens fahrlässig. So wichtig können 3 IPs mehr oder weniger in einem privaten Netz gar nicht sein, als das man das nicht sauber aufziehen könnte. Zumal .0 noch in keinem einzigen mir bekannten Netz egal wie groß oder klein je benutzt wurde.
-
Und die .0 und .255 in einem /24er Netz als Adressen zu nutzen ist - ganz egal mit welchen dirty tricks man das gebaut hat - meines Erachtens fahrlässig. So wichtig können 3 IPs mehr oder weniger in einem privaten Netz gar nicht sein, als das man das nicht sauber aufziehen könnte. Zumal .0 noch in keinem einzigen mir bekannten Netz egal wie groß oder klein je benutzt wurde.
Sei mir nicht böse, aber diese Aussage ist einfach falsch. Eine Network- und Boardcast-Adresse wird nur für eine Boardcastdomäne benötigt! Sprich man möchte die Boadcast-Kommunikation ermöglichen. Das ist aber keine Pflicht. In meinem Fall gibt es bereits Broadcastdomäne für den Defaultgateway 10.10.10.254/24. Somit können die Nodeserver untereinander per Boradcast sprechen. Man kann sogar bei einem Transfernetzen zwischen 2 Routern das 31er Netz nutzen, was sogar üblicherweise gemacht wird um nicht zwischen jedem Router immer 2 Adressen zu verschwenden.
Das geht sogar soweit, dass man sogar eine gemeinsame öffentliche Gateway IP Adresse hat und für die ganze Router/Server komplett eigenständige öffentliche Adressen hat. Das wir allerdings bei ISP für Privat seltener gemacht, da bei einer Fehlkonfig der Nachbarserver lahmgelegt werden kann. Wenn nicht durch Portsecurity gesichert.
Das Aufschalten von solche Adresse ist mit jedem gängigen Router möglich. (z.B. Cisco, Juniper, Zyxel u.s.w.). Ein Gerät/Router fragt dann einfach per ARP WHO nach an welche MAC-Adresse das Datenpaketgeschickt werden muss. Auch jede Point-Point-Verbindung arbeitet nach diesem Prinzip. Schau mal die normale DSL Leitung hat auch nur eine 32er IP.
Auf dem Terminal geht das auch mit folgendem Befehl:
route add -net PUBLICNET/MASK -iface DEVNAME
Danach tut auch alles wie ich das möchte. Aber ich dachte es gibt hierfür eine Oberfläche, so dass das Ganze auch repliziert wird.
Kleiner Nachtrag: Das würde sogar bedeuten, das bei jeder DSL-Verbindung immer 4IP Adressen verbraucht werden würde. Und hier wird genau das o.g. Verfahren verwendet. 1 IP-GW viele 32er IPs pro DSL Anschluss. Ich glaube kaum, dass dies als Hack gewertet werden würde.
-
Schön, dass das Problem zumindest dadurch auf der Console lösbar ist.
Zum Grund an sich: Sorry das sehe ich als Netzwerker nunmal anders. Es mag durchaus sein, dass man es machen kann. Machen kann man jedoch viel. Sollte man es auch? Nicht unbedingt. Ich musste bei der Beschreibung an diverse Hoster-Bastellösungen denken. Sei das jetzt Hetzner mit ihrem Pseudo MAC Portblock damit man ja nicht mehrere IPs auf dem gleichen Server als Netz nutzt, oder andere Kandidaten, die dann ihre IPs über genau solch dubiose Methoden durchreichen, damit man dahinter nicht doch vielleicht mehrere Maschinen packt und die routet. Dann kommen Leute auf lustige Ideen mit Proxy ARP und Co um wieder dagegen zu gehen. Und wofür? Ich will dir das sicher nicht wegstreiten :D Gar nicht meine Idee. Nur ich kanns nicht nachvollziehen, wofür man so einen Aufriß veranstaltet.
Klar, bei einem Hosting Provider mag das alles seinen Grund haben. Der möchte ggf. verbieten (auch wenns doof ist) dass man da mittels VMs auf der Kiste vielleicht doch mehr rausquetscht als man zahlt. Oder IP-Legacy Adressen sparen. Kann ich alles zumindest minimal nachvollziehen.
Aber so einen Stunt in einem internen Netz? Sorry, da fehlt mir das Verständnis für. Macht einfach keinen Sinn. Weder in Zeiten wo man mal über IPv6 nachdenken sollte (/31er Netz für Transfernetz auf Routern? Schon die RIPE recommendation für IPv6 Transfernetz gesehen? Dann weinst du ;)) noch in den verschiedensten Firmennetzen die ich bislang schon besucht und erleben durfte. Weder ein Großer wie Citrix/Cisco noch ein kleiner Anbieter hat sowas schonmal ausgebrütet :) Und die durfte ich alle schon sehen.
Wofür macht man das dann? Security? Gibts VLANs und andere Mechanismen für, die sauberer und vor allem durchsichtiger zu konfigurieren und zu handhaben sind. IPs sparen? Warum bei privaten Adressen - da gibts ja genug? Also ich hab schon viele Konstrukte gesehen, aber das da… das ist selbst mir neu. :)
Grüße
-
Der Sinn ist recht einfach. Unsere Virtualisierung nutzt dieses Verfahren für Routed-Network. Ich kenne einige Anbieter wo das auch gemacht wird, und diese sind nicht gerade klein. Ach ja das mit der IP war nur ein Beispiel, wir reden hier von öffentlichen IP-Netzen.
Und das was Hetzner gemacht hat ist gar nicht dumm, ich würde es eher unglücklich nennen :D Da hat einfach keiner an VMs gedacht. Allerdings raffen die Privatuser auch nicht, wie man eine zugroutete IP-Adresse auf der gleichen Maschine terminiert. Daher der ganze Aufwand und daher auch der notwendige Proxy-ARP.
Nachtrag:
Das weitere Problem ist auch, dass wir einzelne IP-Adressen rüber migrieren möchten.Gibt es denn alternative so etwas wie Custom-commands, die auch repliziert werden?
Nachtrag2:
Mit einer etwas intensiveren Suche wird man schlauer: http://doc.pfsense.org/index.php/Executing_commands_at_boot_time.