Forum Linux.général [routage] [shorewall] 2 FAI - répartition du trafic

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
2
6
juin
2013

Bonjour,

Superbe schéma réseau :

LAN - Centos routeur/firewall (shorewall) - 2 connexions internet (adsl/sdsl)
  • FAI1 (route par défaut)
  • FAI2 (certain trafic IP redirigé par route static)

Depuis l'extérieur, j'aimerais accéder à mes services hébergé (derrière mon routeur donc) de façon transparente part mes 2 FAI

Actuellement :
- Quand je passe par le FAI1 pas de problème.. vu que c'est la route par défaut…
- Quand je passe par le FAI2 le paquet arrive bien dans le LAN mais le retour passe par le FAI1.. donc ça n’aboutis pas… harf

Note : nous ne souhaitons pas de faire de loadbalancing de tout le trafic…

Une idée de ce qui manque dans mon équation ?

Si vous savez comment le spécifier dans Shorewall ça serait encore mieux :-)

Merci d'avance (j'espère m'être fait comprendre)

David

  • # la comme ca, je penserais à faire un SNAT

    Posté par  . Évalué à 2.

    un SNAT plutot que simple NAT sur l'interface LAN
    pour preciser que la source c'est l'IP FAI2 (ou l'IP2 de ton firewall)

    ainsi le retour se fera bien par le firewall, mais serait envoyé sur la 2e carte plutot que sur la 1ere (celle par defaut)

  • # voir la doc "multi-isp" de shorewall

    Posté par  . Évalué à 3.

    Il faut rajouter "track" dans la conf de tes "providers"…
    cf man shorewall-providers:
    J'ai aussi une conf double-adsl et je vais aussi prochainement poster une question à ce sujet ;-)
    (pbl de perfs/mtu/ecn/…, ça marchotte mais pas optimal)

    • [^] # Re: voir la doc "multi-isp" de shorewall

      Posté par  (site web personnel) . Évalué à 1.

      Effectivement j'ai réussi !

      Via le fichier "provider" j'ai juste ajouté : 

      # Shorewall version 4 - Providers File
# For information about entries in this file, type "man shorewall-providers"
#NAME   NUMBER  MARK    DUPLICATE   INTERFACE   GATEWAY     OPTIONS     COPY
XXXX    1       0x1     main        vlan300     192.168.5.254 track     vlan1000
YYY     2       0x2     main        vlan500     192.168.6.254 track     vlan1000

      Merci bien !

  • # Mangle

    Posté par  (site web personnel) . Évalué à 0.

    Est-ce qu'avec le Mangle je chauffe ?
    J'ai l'impression que ça sert surtout quand tu passe d'une table de routage à l'autre. Pour l'instant je n'ai qu'une seule table de routage… peut être faudrait-il en avoir plusieurs pour faire ce que je veux faire ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.