sslug-teknik team mailing list archive

["Kristian F. Høgh" <kfh@xxxxxxxxx>]

"Henrik Størner" wrote:

> [snip]
> >serveren (der er flere 30+) kører linux og window ....  Jeg er ikke
> >interesseret i at sætte indsætte en routetabel op på alle maskinerne
> >(har ikke "magt" på alle maskiner)
>
> Det anede mig, at der lå noget i denne stil bag dit
> spørgsmål. Virkeligheden er sjældent så enkel som man kunne tænke sig
> :-(

Nej, desværre. Uden brugere og servere ville det hele være lettere.

>
> Nå, men andre mulige løsninger jeg kan komme på:
>
> 1) Hvad med at eliminere den ekstra router, og i stedet sætte
>    klientens netværk direkte på firewall'en som et 4. ben ?
>    I og med at al routing foregår direkte via firewall'en burde
>    det løse problemet.

Ja, men jeg er ikke meget for det.

Hvad er det der går galt? Er det connection-tracking?
Kan man slå conn.-track fra?
Firewall'en ser jo ikke echo-request'et og nægter derfor at
route echo-reply? Eller hvad?
Er det en fejl i kernen?
Ved routning hvor input-IF=output-IF bør den ikke være statefull.


>
>
> Eller
>
> 2) Behold den ekstra router, men lav den til en firewall der
>    masquerader 10.28 nettet bag routerens 10.18 adresse. Set
>    fra serverne vil al trafikken så se ud som om den kommer fra
>    routerens 10.18 adresse, så de har ikke nogen problemer
>    med at kommunikere, og så tager routeren sig direkte af at
>    de-masquerade trafikken og sende den videre til 10.28.x.x
>    klienterne.

Denne løsning er jeg endnu mindre for.

Mange tak for hjælpen indtil nu.

Kristian Høgh.