https://wiki.freifunk-franken.de/mediawiki/index.php?action=history&feed=atom&title=Freifunk-Gateway_aufsetzen%2Fspezielles_routingFreifunk-Gateway aufsetzen/spezielles routing - Versionsgeschichte2026-04-22T19:00:13ZVersionsgeschichte dieser Seite in Freifunk FrankenMediaWiki 1.40.1https://wiki.freifunk-franken.de/mediawiki/index.php?title=Freifunk-Gateway_aufsetzen/spezielles_routing&diff=11909&oldid=prevChristianD: Die Seite wurde neu angelegt: „= Einzelne IPs oder Services über anderen Server routen = Manchmal möchte man einzelne Clients oder bestimmte Services (Achtung Netzneutralität!) über ein…“2018-08-28T06:21:35Z<p>Die Seite wurde neu angelegt: „= Einzelne IPs oder Services über anderen Server routen = Manchmal möchte man einzelne Clients oder bestimmte Services (Achtung Netzneutralität!) über ein…“</p>
<p><b>Neue Seite</b></p><div>= Einzelne IPs oder Services über anderen Server routen =<br />
<br />
Manchmal möchte man einzelne Clients oder bestimmte Services (Achtung Netzneutralität!) über einen anderen Server ins Internet routen. Dies ist folgendermaßen möglich. In meinen Beispiel route ich auf [https://wiki.freifunk-franken.de/w/Server#Gateway_Server_.22fff-gw-cd1.22 fff-gw-cd1] den kompletten Internettraffic von nbgland über fff-pi-cd1 ins Internet um den Mullvad auf [https://wiki.freifunk-franken.de/w/Server#Gateway_Server_.22fff-gw-cd1.22 fff-gw-cd1] zu entlasten (nbgland hat ein hohes Trafficaufkommen).<br />
<br />
== Routingtabelle anlegen ==<br />
Zuerst brauchen wir eine weitere Routingtabelle:<br />
<pre><br />
vi /etc/iproute2/rt_tables<br />
</pre><br />
und fügen dort hinzu:<br />
<pre><br />
12 nbgland<br />
</pre><br />
Diese Routingtabelle füllen wir mit einem neuen default<br />
<pre><br />
ip route add default via 10.50.252.251 dev fff-pi-cd1 table nbgland<br />
</pre><br />
<br />
== Routing erstellen ==<br />
<br />
Anschließend können wir alle Pakete mit Iptables markieren und für diese markierten Pakete in die neue Routingtabelle gucken, in unserem Beispiel:<br />
<pre><br />
iptables -A PREROUTING -t mangle -s 10.50.88.0/21 ! -d 10.0.0.0/8 -j MARK --set-mark 3<br />
ip rule add fwmark 3 table nbgland<br />
</pre><br />
Das heißt:<br />
Markiere alle Pakete mit dem "Marker 3" die von dem IP Bereich 10.50.88.0/21 hereinkommen und nicht als Ziel 10.0.0.0/8 haben (damit wird Freifunkinterner Traffic von der Regel ausgenommen). Mit dem ip rule Regel sagen wir das für alle Pakete mit dem Marker 3 in die neue Routingtabelle nbgland geguckt werden soll wo der neue default fff-pi-cd1 drinnen steht.<br />
Da mit Iptables sehr viele möglichkeiten bestehen ist man über diesen Weg extrem flexibel, man könnte z.b. alle Torrentpakete markieren (Achtung Netzteutralität!) und über einen "Müllserver" ausleiten.<br />
<br />
== Problem wenn Server offline ==<br />
<br />
Ein Problem bleibt noch, was passiert wenn fff-pi-cd1 offline ist? Genau da dies ganze am Olsr "vorbei" läuft stehen alle markierten Pakete dann ohne Exit (in unseren Fall ganz nbgland ohne Internet) da. Dazu hab ich das [https://wiki.freifunk-franken.de/w/Freifunk-Gateway_aufsetzen#OpenVPN_Start.2FStop_Automatik OpenVPN Start/Stop Automatik] von [[Benutzer:Green|Green]] ein wenig vereinfacht und angepasst für unsere bedürfnisse:<br />
<br />
<pre><br />
#!/bin/bash<br />
ping1 () {<br />
ping -c 3 -i 5 8.8.8.8 -I fff-pi-cd1<br />
ping1_ExitCode=$?<br />
echo "$(date): Exit Status: ${ping1_ExitCode}"<br />
}<br />
<br />
<br />
while true<br />
do<br />
ping1<br />
# check if ping successful<br />
if ([[ ${ping1_ExitCode} -eq 0 ]]); then<br />
sleep 10;<br />
echo "Ping success";<br />
else<br />
echo "Ping fault";<br />
iptables -D PREROUTING -t mangle -s 10.50.88.0/21 ! -d 10.0.0.0/8 -j MARK --set-mark 3<br />
fi<br />
done<br />
</pre><br />
<br />
Das Script wird gestartet und läuft in einer Endlosschleife. Es wird regelmäßig versucht über fff-pi-cd1 8.8.8.8 zu pingen und falls dies nicht mehr gelingt wird die iptables Regel mit -D entfernt, somit werden die Pakete nicht mehr markiert und Olsr hat wieder die Kontrolle über den Traffic. Ein automatisches reaktivieren findet aktuell nicht statt, dies müsste ich nach beheben des Problems manuell anstoßen.<br />
Diese Konstellation läuft jetzt schon seit 6. Januar problemlos, es gab keine beschwerden und das Script musste noch nicht einmal eingreifen.<br />
<br />
Achtung: Falls am fff-pi-cd1 der OpenVPN abstürzt baut dort Olsr auf einen anderen Server um. Da dadurch der Ping nach wie vor gelingt, wird die iptables Rule auch nicht entfernt. Man sollte also dafür sorgen das fff-pi-cd1 einen guten 2. Exit hat, falls OpenVPN abstürzt. Dies ist heute passiert und da es keinen guten Exit gab, war nbgland einige Zeit ziemlich lahm.</div>ChristianD