Freifunk-Gateway aufsetzen/spezielles routing

Aus Freifunk Franken
Version vom 28. August 2018, 08:21 Uhr von ChristianD (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „= Einzelne IPs oder Services über anderen Server routen = Manchmal möchte man einzelne Clients oder bestimmte Services (Achtung Netzneutralität!) über ein…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu:Navigation, Suche

Einzelne IPs oder Services über anderen Server routen

Manchmal möchte man einzelne Clients oder bestimmte Services (Achtung Netzneutralität!) über einen anderen Server ins Internet routen. Dies ist folgendermaßen möglich. In meinen Beispiel route ich auf fff-gw-cd1 den kompletten Internettraffic von nbgland über fff-pi-cd1 ins Internet um den Mullvad auf fff-gw-cd1 zu entlasten (nbgland hat ein hohes Trafficaufkommen).

Routingtabelle anlegen

Zuerst brauchen wir eine weitere Routingtabelle:

vi /etc/iproute2/rt_tables

und fügen dort hinzu:

12	nbgland

Diese Routingtabelle füllen wir mit einem neuen default

ip route add default via 10.50.252.251 dev fff-pi-cd1 table nbgland

Routing erstellen

Anschließend können wir alle Pakete mit Iptables markieren und für diese markierten Pakete in die neue Routingtabelle gucken, in unserem Beispiel:

iptables -A PREROUTING -t mangle -s 10.50.88.0/21 ! -d 10.0.0.0/8 -j MARK --set-mark 3
ip rule add fwmark 3 table nbgland

Das heißt: Markiere alle Pakete mit dem "Marker 3" die von dem IP Bereich 10.50.88.0/21 hereinkommen und nicht als Ziel 10.0.0.0/8 haben (damit wird Freifunkinterner Traffic von der Regel ausgenommen). Mit dem ip rule Regel sagen wir das für alle Pakete mit dem Marker 3 in die neue Routingtabelle nbgland geguckt werden soll wo der neue default fff-pi-cd1 drinnen steht. Da mit Iptables sehr viele möglichkeiten bestehen ist man über diesen Weg extrem flexibel, man könnte z.b. alle Torrentpakete markieren (Achtung Netzteutralität!) und über einen "Müllserver" ausleiten.

Problem wenn Server offline

Ein Problem bleibt noch, was passiert wenn fff-pi-cd1 offline ist? Genau da dies ganze am Olsr "vorbei" läuft stehen alle markierten Pakete dann ohne Exit (in unseren Fall ganz nbgland ohne Internet) da. Dazu hab ich das OpenVPN Start/Stop Automatik von Green ein wenig vereinfacht und angepasst für unsere bedürfnisse:

#!/bin/bash
ping1 () {
    ping -c 3 -i 5 8.8.8.8 -I fff-pi-cd1
    ping1_ExitCode=$?
    echo "$(date): Exit Status: ${ping1_ExitCode}"
}


while true
do
    ping1
    # check if ping successful
    if ([[ ${ping1_ExitCode} -eq 0 ]]); then
        sleep 10;
                echo "Ping success";
    else
                echo "Ping fault";
                iptables -D PREROUTING -t mangle -s 10.50.88.0/21 ! -d 10.0.0.0/8 -j MARK --set-mark 3
    fi
done

Das Script wird gestartet und läuft in einer Endlosschleife. Es wird regelmäßig versucht über fff-pi-cd1 8.8.8.8 zu pingen und falls dies nicht mehr gelingt wird die iptables Regel mit -D entfernt, somit werden die Pakete nicht mehr markiert und Olsr hat wieder die Kontrolle über den Traffic. Ein automatisches reaktivieren findet aktuell nicht statt, dies müsste ich nach beheben des Problems manuell anstoßen. Diese Konstellation läuft jetzt schon seit 6. Januar problemlos, es gab keine beschwerden und das Script musste noch nicht einmal eingreifen.

Achtung: Falls am fff-pi-cd1 der OpenVPN abstürzt baut dort Olsr auf einen anderen Server um. Da dadurch der Ping nach wie vor gelingt, wird die iptables Rule auch nicht entfernt. Man sollte also dafür sorgen das fff-pi-cd1 einen guten 2. Exit hat, falls OpenVPN abstürzt. Dies ist heute passiert und da es keinen guten Exit gab, war nbgland einige Zeit ziemlich lahm.